Вектор принуждения к аутентификации машинного аккаунта через LNK-файлы (абьюз MsSense.exe в средах с MDE, когда процесс обрабатывает LNK-файлы, у которых в поле «targetPath» указан URI WebDAV-ресурса:
$targetPath = "\\TARGET@80\test\test.txt"
При разборе такого пути MsSense.exe выполняет вызов CreateFile, что приводит к попытке аутентификации на произвольном удалённом узле.
Дисклеймер
Статья написана исключительно в образовательных целях. Используйте информацию легально и этично. Автор не несёт ответственности за любое неправомерное использование.
Подпишись на наши каналы в телеграме и в Max, там ты найдешь огромное количество качественного контента, без инфошума и воды!
Начнём
Я поднял полностью пропатченную тестовую среду с MDE на Windows 11. В качестве контроллера домена использовался Windows Server 2016:
На следующем скриншоте показано: создание LNK-файла на машине жертвы (1), привилегии создателя (2), публичная папка, в которой будет создан LNK-файл (3), и Process Monitor для отслеживания действий процесса MsSense.exe за кулисами (4):
Мы видим, что MsSense.exe выполнил вызов CreateFile по удалённому пути, указанному в LNK-файле — это вынуждает машинный аккаунт аутентифицироваться на удалённой системе.
На следующем скриншоте видно, что после создания файла notes.lnk, машинный аккаунт 'SNIFF-11$' прошёл аутентификацию через WebDAV на удалённой VM атакующего, где запущен Responder:
LNK-файл можно создать за пределами целевой машины, при его переносе на удалённый компьютер он всё равно вызовет принудительную аутентификацию машинной УЗ на удалённом сервере.
На следующем скриншоте видно, что папка Downloads пуста:
После копирования LNK-файла на машину жертвы процесс MsSense.exe выполнил вызов CreateFile к удалённому серверу, вынудив машинный аккаунт пройти аутентификацию:
В данном сценарии использовался WebDAV для ретрансляции с HTTP в LDAP — при таком типе ретрансляции можно вынудить машинный аккаунт, прошедший аутентификацию на удалённом сервере, изменить собственные атрибуты, например:
1. msDS-AllowedToActOnBehalfOfOtherIdentity — для выполнения атаки Resource Based Constrained Delegation.
2. msDS-KeyCredentialLink — для выполнения атаки Shadow Credentials.
Следует отметить, что это возможно только в том случае, если на контроллере домена не настроены LDAP Signing и LDAPS Channel Binding.
Ответ Microsoft
«Вы сообщили об аутентифицированном векторе принудительной аутентификации машинного аккаунта через LNK-файл, исходящем от MsSense.exe в средах MDE, когда процесс обрабатывает LNK-файлы со значением "targetPath", указывающим на WebDAV URI: $targetPath = "\TARGET@80\test\test.txt".
Данная обработка приводит к вызову CreateFile со стороны MsSense.exe, вызывая попытку аутентификации к произвольным адресатам.
После тщательного изучения мы пришли к выводу, что успешная эксплуатация данной уязвимости требует аутентификации и связана с принудительной аутентификацией машинного аккаунта.
По результатам детального расследования данный случай был классифицирован как уязвимость средней степени серьёзности категории "спуфинг" и не соответствует критериям MSRC для немедленного устранения.»
Следует отметить, что это возможно только в том случае, если на контроллере домена не настроены LDAP Signing и LDAPS Channel Binding.
Заключение
В этой статье мы показали, как компьютер в среде Active Directory, защищённый Microsoft Defender for Endpoint, может быть вынужден пройти аутентификацию на удалённой системе, когда стандартные техники не срабатывают. Используя специальный LNK-файл и анализируя поведение MsSense.exe, мы продемонстрировали, как можно спровоцировать аутентификацию машинного аккаунта и ретранслировать её, что в конечном счёте позволяет провести такие атаки, как Shadow Credentials и Resource Based Constrained Delegation.
Это исследование наглядно показывает, что компоненты защиты сами по себе могут создавать неочевидные векторы атак, которые легко упустить из виду.
Подпишись на наши каналы в телеграме и в Max, там ты найдешь огромное количество качественного контента, без инфошума и воды!