SMB Relay
En lugar de descifrar hashes recopilados con Responder, podemos en su lugar retransmitir esos hashes a máquinas específicas y potencialmente obtener acceso.
Requisitos
La firma SMB (SMB signing) tiene que estar deshabilitado o no forzado en el objetivo.
Las credenciales de usuario retransmitidas deben ser de administrador en la máquina para tener algún valor real.
Identificar host con la firma SMB deshabilitada
Configuración de responder
Ejecución del ataque
Ejecutamos
responder
Ejecutamos
impacket-ntlmrelayx
La firma SMB (también conocida como firmas de seguridad) es un mecanismo de seguridad en el protocolo SMB. La firma SMB significa que cada mensaje SMB contiene una firma que se genera mediante la clave de sesión. El cliente coloca un hash de todo el mensaje en el campo de firma del encabezado SMB.
Mitigación
Habilitar la firma SMB en todos los dispositivos
Pro: Detenemos los ataques
Con: Puede causar problemas de rendimiento con las copias de archivos
Deshabilitar la autenticación NTLM en la red
Pro: Detenmos los ataques
Con: Si Kerberos deja de funcionar, Windows vuelve a los valores predeterminados de NTLM.
Jerarquización de cuentas
Pro: Límites de administradores de dominio a tareas específicas (por ejemplo, solo iniciar sesión en servidores que requieren DA).
Con: Hacer cumplir la política puede ser difícil.
Restricción de administrador local
Pro: Puede prevenir mucho movimiento lateral.
Con: Posible aumento en la cantidad de tickets del servicio de asistencia, por ejemplo, un usuario con normal no tendra privilegios para instalar un determinado software.
Última actualización