Мы вскрываем схемы, пока их прячут
Image

Мы вскрываем схемы, пока их прячут

Подпишись на нас и смотри, как ломают системы и как это чинят, пока остальные делают вид, что все ок.

Ретро-хакинг на максималках. Почему ваша корпоративная сеть до сих пор думает, что на дворе девяностые

Mandiant Google Cloud Net-NTLMv1 Active Directory радужные таблицы аутентификация уязвимость
Ретро-хакинг на максималках. Почему ваша корпоративная сеть до сих пор думает, что на дворе девяностые
Mandiant Google Cloud Net-NTLMv1 Active Directory радужные таблицы аутентификация уязвимость

Специалисты Google Cloud открыли всеобщий доступ к инструменту «судного дня».

image

Mandiant опубликовала обширный набор радужных таблиц, предназначенных для расшифровки устаревшего протокола Net-NTLMv1. Эта инициатива призвана ускорить отказ от технологии, признанной небезопасной ещё в конце 90-х годов. Несмотря на то, что её уязвимости давно хорошо изучены, она до сих пор встречается в корпоративных инфраструктурах, где по-прежнему используется для аутентификации.

По оценке специалистов, причиной сохраняющегося присутствия Net-NTLMv1 остаётся сочетание технической инерции и отсутствия наглядной угрозы. Теперь же демонстрировать её опасность стало значительно проще. Ранее для атаки требовалось либо использовать сторонние онлайн-сервисы, что ставило под риск конфиденциальные данные, либо приобретать дорогостоящее оборудование. С публикацией новых таблиц подбор ключей возможен за несколько часов даже на бытовом железе стоимостью менее 600 долларов.

Таблицы доступны через портал исследовательских данных Google Cloud. Проверка их подлинности осуществляется с помощью SHA512-хешей. Представители сообщества по взлому паролей уже создали производные версии и разместили их на собственных площадках.

Реализация атаки основана на извлечении хеша Net-NTLMv1 без использования ESS. При наличии предсказуемой последовательности, такой как 1122334455667788, становится возможным применить атаку по известному открытому тексту. Таким способом можно восстановить хеш пароля объекта в Active Directory — пользователя или компьютера, — что открывает путь к получению повышенных привилегий.

Особую опасность представляет сценарий с принудительной аутентификацией от имени контроллера домена. Получив хеш его учётной записи, атакующий может использовать DCSync для копирования учётных данных других объектов внутри домена.

Для получения нужного хеша чаще всего используется утилита Responder с отключённой ESS и настройкой на фиксированное значение аутентификации. После захвата хеша он разбивается на части, соответствующие компонентам DES, которые затем обрабатываются с помощью специализированных программ поиска по радужным таблицам. Примеры использования различных утилит и этапов процесса Mandiant представила на иллюстрациях.

Финальный этап включает сборку полного NT-хеша и его проверку через специализированный режим в Hashcat. После этого становится возможным провести атаку DCSync с помощью утилиты secretsdump.py из набора инструментов Impacket.

Команда подчёркивает, что организации должны безотлагательно отключить Net-NTLMv1. Это делается через локальные и групповые политики Windows. Однако одного изменения настроек недостаточно. Угрозу представляют случаи, когда злоумышленники получают локальный доступ и вручную возвращают систему к уязвимому состоянию.

Для своевременного обнаружения таких попыток рекомендуется настроить фильтрацию по событиям с идентификатором 4624 в журналах Windows. В разделе информации об аутентификации следует обращать внимание на значения «LM» или «NTLMv1» в поле, обозначающем тип пакета.

Публикация Mandiant была подготовлена при поддержке сообщества исследователей и опирается на наработки из открытых источников, включая публикации в блогах, код в репозиториях и записи в соцсетях.