¡Que tal gente de Hack x Crack!
En este nuevo post voy a comentarles como un pentester o hacker ético (o blackhat e.e) puede obtener sesión remota a una máquina con Windows (con cualquier versión 7,8,8.1,10,11,etc) y hacerse administrador (root) de la máquina. Las empresas suelen ignorar este fallo y luego pasa lo que pasa... mírenlo del lado positivo, más trabajo para el pentester.

¿Qué son los ataques 'SMB Relay'?
El ataque SMB Relay es un ataque muy utilizado para ganar acceso a equipos privilegiados y no privilegiados. En las redes existen sistemas automatizados que se conectan a otros equipos para realizar diversas tareas tipo: backups, actualizar antivirus y controladores, revisar inventario del software instalado y demás. Dichos sistemas para conectarse a otros equipos necesitan proveer a los mismos las credenciales válidas para llevar a cabo la autenticación. Y aquí es donde viene lo jugoso, el atacante lo que hace es interceptar las conexiones entre esos sistemas (con su dirección IP interna/local) para capturar el usuario y contraseña, en el caso de la contraseña, viajará hasheada (cifrada).

La autenticación se realiza por medio del protocolo NTLM, mismo que contiene un hash para almacenar las contraseñas de sistemas Windows.


Ataque intermediario (MITM) - Envenenamiento
User A: Envía un mensaje de autenticación al User B
Atacante: Intercepta primero el mensaje y lo pasa al User B
User B: Recibe el mensaje y envía el desafío encriptado en un hash hacia el User A
User A: Resuelve el desafío y lo envía hacia el User B
Atacante: Intercepta el desafío (hash)
User B: Decide si otorgar acceso o denegarlo.

El atacante graba el Hash-SMB para luego crackear el login por fuerza bruta.


EXPLOTAR WINDOWS NETWORK

Una de las herramientas que suelo utilizar personalmente es Responder, un script hecho en python para envenenar (escuchar) las autenticaciones que viajan en la red, tales como: HTTP/SMB/MSSQL/FTP/LDAP/NTLMv1/NTLMv2/LMv2. Para descargar el repositorio ejecutan el siguiente comando:

Para poner en marcha las escuchas:

-I: Interfaz de red
-w: Inicie el servidor proxy no autorizado WPAD. El valor predeterminado es falso.
-r: Habilitar las respuestas para las consultas de sufijo wredir de netbios. Responder a wredir probablemente rompa cosas en la red. Valor predeterminado: falso
-f: Esta opción le permite tomar la huella digital de un host que emitió una consulta NBT-NS o LLMNR.
-v: Modo verbose (más detalles).


En mi caso, escogí Windows 7 a explotar como entorno controlado en una VM. Lo probé en mi máquina física con Windows 10 y funciono sin problemas. En Windows me dirigí a Explorador de archivos -> Acceso rápido y en la barra de búsqueda escribí //printserver, es un servidor que conecta una impresora de red al sistema que la esté autenticando.


Del lado de la atacante, pueden observar como la herramienta ha captura el usuario y el hash de sesión:


NTLMv2 hash:

Luego, creó un nuevo documento de texto en donde almacenaré el hash, posteriormente usaré John The Ripper para crackear dicho hash:


Si su máquina cuenta con un procesador de alto rendimiento, entonces opten a utilizar hashcat para crackear el login:

5600 es el identificador del hash NTLMv2.


CREDENCIALES DE LA MÁQUINA
Usuario: Windows7
Contraseña: admin123

Después me conectaré de forma remota a la máquina con el software de Rdesktop.





MITIGAR VULNERABILIDAD

Lo primero que recomiendo es entrar a la configuraciones de Conexiones remota de Windows y deshabilitarla, o solo habilitarla para aquellos equipos de confianza.


De parte de la empresa es recomendable limitar las cuentas de usuarios administradores locales y del dominio para no producir un daño mayor, también recomiendo deshabilitar la firma SMB para que el ataque no pueda funcionar.

#R3LI4NT