20-letni mechaznim z IE5.0 nadal pozwala łamać nowoczesne sieci Windows

O co chodzi w tym nieco dramatycznym tytule? O WPAD, na temat którego pierwsze wzmianki pojawiają się przy okazji przeglądarki Netscape (1996 rok), a wprowadzony został do IE 5.0 w 1999 roku.

Jak wykorzystać ten mechanizm do ataku? Możliwości jest wiele, ale jedna z prostszych jest taka:

• Odpalam w LAN narzędzie podszywające się pod usługę WPAD (muszę być gdzieś wpięty kablem i w sieci nie mieć mechanizmów klasy 802.1X – są one cały czas rzadkością)
• Użytkownicy łączą się gdzieś zwykłą przeglądarką z domyślnymi ustawieniami (do aplikacji w Internecie lub w LAN)
• Ich system pyta nasz podstawiony WPAD o proxy (tak, nie ma tutaj żadnego uwierzytelnienia czy potwierdzenia autentyczności usługi)
• Nasz WPAD odpowiada, ale mówi że potrzebne jest jeszcze uwierzytelnienie użytkownika (wysyłając NTLMv2 challenge)
• System ofiary (ofiar) przesyła NTLMv2 response (przesyłając nam hash hasła)
• Hash na crackera i mamy już hasło + login użytkownika.
• Ważne że wszystko dzieje się automatycznie, bez żadnych alertów bezpieczeństwa.

NTLMv2 hash

Mamy wielu użytkowników w LAN czyli mamy wiele hashy. A któraś z ofiar mimo niby skomplikowanej polityki haseł będzie miała ustawionego coś prostego, prawda? Hermenegilda1! w końcu spełnia chyba wszystkie najbardziej wyśrubowane normy polityk bezpieczeństwa haseł ;)

–ms