新型MITM6+NTLM中继攻击可导致权限提升并完全控制域环境
💡
原文中文,约1700字,阅读约需4分钟。
📝
内容提要
一种结合MITM6与NTLM中继技术的攻击链可完全控制Active Directory域,攻击者利用Windows IPv6自动配置迅速提升权限。防御措施包括禁用IPv6、限制计算机账户创建和实施签名验证。此攻击隐蔽性强,企业需加强监控与防护。
🎯
关键要点
- 结合MITM6与NTLM中继技术的攻击链可完全控制Active Directory域。
- 攻击者利用Windows IPv6自动配置迅速提升权限。
- 滥用Windows IPv6自动配置功能和AD默认允许创建10个计算机账户的配额机制。
- 使用mitm6+ntlmrelayx工具组合创建具有RBCD权限的恶意账户。
- 防御措施包括禁用IPv6、设置ms-DS-MachineAccountQuota=0、启用签名验证、部署DHCPv6防护。
- 该技术对运行标准Windows环境的企业构成重大风险。
- MITM6攻击针对Windows基础行为,利用DHCPv6请求。
- 攻击者伪装成恶意DHCPv6服务器,分配恶意DNS服务器地址。
- 通过ntlmrelayx组件截获NTLM认证尝试,创建恶意计算机账户。
- Active Directory默认的ms-DS-MachineAccountQuota设置允许认证用户创建最多10个计算机账户。
- 成功实施后,攻击者可提取NTLM哈希并进行横向移动。
- 企业可能面临完全域沦陷、凭证窃取、服务中断和数据泄露等严重后果。
- 关键缓解措施包括禁用IPv6、设置ms-DS-MachineAccountQuota=0、强制实施SMB和LDAP签名。
- 强调必须主动加固Active Directory环境并持续监控异常网络服务。
❓
延伸问答
MITM6与NTLM中继攻击是如何工作的?
该攻击结合了MITM6和NTLM中继技术,利用Windows的IPv6自动配置功能,攻击者可以在短时间内提升权限并完全控制Active Directory域。
企业如何防御MITM6与NTLM中继攻击?
防御措施包括禁用IPv6、设置ms-DS-MachineAccountQuota为0、启用签名验证和部署DHCPv6防护。
攻击者如何利用Windows的默认设置进行攻击?
攻击者利用Active Directory默认允许创建10个计算机账户的配额机制,创建恶意账户并获得高权限。
成功实施攻击后,攻击者能获得什么权限?
攻击者可以提取NTLM哈希并进行横向移动,甚至获得域管理员的模拟权限。
MITM6攻击的隐蔽性如何影响企业安全?
由于攻击滥用合法的Windows协议,其隐蔽性使得检测极具挑战性,企业面临严重的安全风险。
如何设置ms-DS-MachineAccountQuota以防止攻击?
可以将ms-DS-MachineAccountQuota设置为0,以防止认证用户创建计算机账户,从而降低攻击风险。
🏷️
标签
➡️
