Vaya nombre para un ataque, en fin … que alla por el verano del 2021 un tipo descubrió una forma de hacer un NTML relay attack para hacerse con credenciales (o mas bien el hash).
Mis problemas ahora son varios.
1.- Como detectarlo (con los logs de los DCs en splunk)
index=* sourcetype=WinEventLog EventCode=4768 Client_Address!=»::1″ Certificate_Thumbprint!=»» Account_Name=*$
| stats count min(_time) as firstTime max(_time) as lastTime by dest, Account_Name, Client_Address, action, Message
| `security_content_ctime(firstTime)`
| `security_content_ctime(lastTime)`
| `kerberos_tgt_filter`
Y esto aun no lo entiendo del todo kerberos_tgt_filter es una macro que solo tiene search *
2.- Como limpiarlo en caso de problemas
No he conseguido averiguar demasiado, todas las veces que hemos tenido la alerta se han revisado los pcs, todos limpios (que hayamos sido capaces de ver claro), incluso darktrace no ha mostrado ningun patron de trafico extraño.
3.- Como mitigarlo (aunque no es mi problema al 100%, algo me dice que me va a salpicar, asi que …)
Antes de nada, información.
https://heimdalsecurity.com/blog/petitpotam-vulnerability-windows-domains/
Vale, esto es lo que necesito, resulta que el CVE-2021-36942 corrige el problema (bueno no lo corrige, pero impide que pueda ser explotado). Resulta que el parche no funciona del todo bien y el fallo fue solucionado en el CVE-2021-43217 (Diciembre 2021)