Como parte de la presentación sobre seguridad en HTML + Javascript que podeis visualizar en el siguiente enlace:
Seguridad en el Entorno Corporativo Actual
Vamos a comentar la técnica de Spoofing de respuestas NBNS que se produce en un entorno de Active Directory, que también podeis ver en HD en el siguiente enlace:
Los principios básicos para entender qué se provoca y qué sucede hay que tener claro qué es el NBNS.
NetBios Name Service es parte de la pila de protocolos TCP de NetBios ( algunos habrán leido acerca de servidores WINS por ejemplo en Windows 2000 Server ).
La misión del protocolo NBNS, que trabaja sobre UDP en el puerto 137, es similar a la del DNS, es decir, traducir de direcciones IP a nombres. -> Ej google.es -> 74.125.230.215.
Manteniendo un registro central, acelera el proceso de registro en la red de un nuevo nodo o computadora.
Y alguno dirá, que para eso está el DNS, correcto, pero como venimos diciendo, hay mucho tráfico que se escapa de las consultas a los DNS, y pasa a ser consultado vía NBNS.
Cuando tu máquina Windows intenta resolver un nombre a una dirección IP concreta, realiza los siguientes pasos:
– 1º C:\Windows\System32\drivers\etc\hosts
– 2º DNS
– 3º NBNS
Cualquier máquina Windows que intente localizar un recurso de red, o se añada una nueva máquina al Dominio, o cuando buscas desde Google Chrome, se produce tráfico NBNS.
Anuncio de Host en la red
Anuncio de Dominio en Active Directory
Sin ir más lejos y en el ejemplo que se usa en el vídeo, la barra de navegación que utilizamos para escribir y buscar a la misma vez, produce tráfico NBNS, ¿ Cómo ?
El navegador tiene que poder discernir entre lo que es una búsqueda de nombres o un servidor concreto como elmundo.es, si contiene espacios, será lo primero, si contiene puntos, lo segundo.
Si sabemos que se produce tráfico NBNS en una consulta en el navegador, y sabemos que es tráfico UDP Broadcast, es decir, Windows preguntará a todas las máquinas si sabe quién es esa búsqueda y si ese nombre pertenece a algún recurso que se esté compartiendo en el ámbito de Active Directory, será fácil redirigir el tráfico a nuestra conveniencia.
Para ello se emplean varios módulos de Metasploit:
– auxiliary/spoof/nbns/nbns_response
– auxiliary/server/capture/smb
– auxiliary/server/capture/http_ntlm
Con esto, establecemos el envenenamiento ARP para redirigir el tráfico a nuestra máquina atacante, y establecemos varios fakeservices en la red que se encargarán de capturar los hashes LM/NTLM del usuario que está haciendo una consulta en su explorador, y cuando la haga, Bingo !
Obtendremos los hashes del usuario en cuestión, y podremos proceder a crackearlos e incluso inyectarlas en memoria mediante el proceso LSASS.exe ( Local Security Authority Subsystem Service) con varias herramientas de las que hablaremos más adelante y conseguir así una escalada de privilegios.
Saludos !