研究人员找到方法从Internet窃取Windows Active Directory证书

两名研究人员在黑帽安全会议上表示，使用SMB文件共享协议的攻击一直被认为只能在局域网内运行十多年，也可以通过互联网执行。

称为SMB中继，会导致属于Active Directory域的Windows计算机在访问网页，阅读Outlook中的电子邮件或在Windows Media Player中打开视频时将用户凭据泄漏给攻击者。

这些凭证可以那么攻击者就可以使用该用户在任何用户拥有帐户的Windows服务器上进行身份验证，包括在云中托管的用户。

[更多阅读：如何从Windows PC中删除恶意软件]

在Active Directory网络中，Windows计算机在想要访问远程文件共享，Microsoft Exchange电子邮件服务器或SharePoint企业协作工具等不同类型的服务时自动发送凭据。这是使用NTLM版本2（NTLMv2）身份验证协议完成的，发送的凭证是以纯文本格式显示的计算机和用户名，以及源自用户密码的加密哈希值。

2001年，安全研究人员设计出一项名为SMB攻击者可以将自己置于Windows计算机和服务器之间，以拦截凭据，然后将其中继到服务器，以便作为用户进行身份验证。

据信，这种攻击只能在本地网络中使用。事实上，Internet Explorer有一个用户身份验证选项，默认设置为“仅在Intranet区域自动登录”。

然而，安全研究人员Jonathan Brossard和Hormazd Billimoria发现该选项被忽略，浏览器可能被欺骗悄悄地将用户的活动目录证书（用户名和密码哈希）发送到Internet上由攻击者控制的远程SMB服务器。

他们将问题跟踪到不仅由Internet Explorer使用的Windows系统DLL文件，但许多应用程序可以访问URL，包括Microsoft Outlook，Windows Media Player以及第三方程序。

当这些应用程序查询URL时，DLL将检查注册表中的身份验证设置，但忽略研究人员在拉斯维加斯的会议上表示，这对于所有支持的Windows和Internet Explorer版本都是如此，这是对新发布的第一个远程攻击微软代表周四通过电子邮件表示，“我们知道这件事，并正在进一步研究这个问题。”一旦攻击者获得了用户的凭证，根据Brossard的说法，它们有几种使用方法

在一种情况下，他们可以使用称为NTLM over HTTP的功能，通过SMB中继攻击将用户本地网络外部的服务器上的受害者认证为受害者这是为了适应网络扩展到云环境而引入的。通过这种方式，他们可以在服务器上获得远程shell，然后可以用它来安装恶意软件或执行其他攻击。

如果远程服务器是Exchange，则攻击者可以下载用户的整个邮箱。方案涉及破解散列，然后使用它来访问远程桌面协议服务器。这可以使用专门的硬件设备或服务来结合多个GPU的功能。

具有八个字符或更少字符的密码可在两天左右破解。破解整个被盗哈希列表需要花费相同的时间，因为所有可能的字符组合都是作为该过程的一部分进行尝试，他说。

通过Internet窃取Windows凭据对于已经在本地网络中但不具有管理员权限的攻击者也很有用。然后，他们可以向管理员发送一封电子邮件，该邮件在Outlook中查看时会泄漏其凭据。然后，攻击者可以使用被盗的哈希执行针对本地网络上的服务器的SMB中继攻击。

有几种方法可以限制这些攻击，但其中一些方法有明显的缺点。

启用称为数据包签名的SMB功能防止中继攻击，但不是泄露自身的证书或依赖破解散列的攻击，Brossard说。研究人员表示，另一个可以提供帮助的功能称为Windows保护扩展保护，但很难配置，这就是为什么它通常不能在企业网络上启用的原因。

Microsoft建议使用防火墙阻止SMB数据包离开本地网络。据Brossard称，这将防止凭证泄漏，但在员工流动性和云计算时代并不实用。研究人员认为，基于主机的过滤解决方案更合适。

集成到Windows中的防火墙可用于阻止端口137,138,139和445上的SMB数据包在Internet上外出，但仍允许它们在本地网络上，所以它不会打破文件共享，他说。“