Никаких эксплойтов и zero-day: как эксплуатация безобидных настроек Асtive Directory приводит к компрометации домена

Привет, Хабр! На связи Дмитрий Неверов, технический консультант направления тестирования внутренней инфраструктуры команды Бастиона и автор книги «Идём по киберследу» . Пентестер зачастую воспринимается как «белый маг хакер», которому дай только возможность запустить пару эксплойтов и поэксплуатировать zero-day. Однако наш опыт подсказывает, что самые неприметные и «безобидные» настройки Active Directory могут нести не меньшую опасность в руках умелого взломщика. В этой статье я расскажу о трех интересных пентестах, выполненных нашей командой. Во всех этих кейсах использовалась моя базовая методология пентеста, которая несколько отличается от классического подхода, и применялись только этичные приемы. Итак, поехали!

https://habr.com/ru/companies/bastion/articles/1012354/

#active_directory #Red_Team #пентест #информационная_безопасность #тестирование_на_проникновение #Kerberos #AD #компрометация_домена

Типичные ошибки настройки Active Directory

Всем привет! На связи Карпенко Савелий, специалист по тестированию на проникновение из группы по борьбе с уязвимостями в компании ТехВилл. В рамках нашей работы мы регулярно тестируем Active Directory (AD). Это центральный сервис аутентификации и управления доступом во многих корпоративных сетях. С практической точки зрения ошибки в конфигурациях AD часто становятся главной причиной взлома, среди проблемных аспектов можно назвать неверное назначение прав, доступов и использование устаревших механизмов аутентификации. Наличие недостатков в конфигурациях даёт атакующему возможность последовательно поднимать уровень своих привилегий. Ниже собраны типовые ошибки конфигурации, которые чаще всего встречаются на проектах, и показано, как они складываются в цепочки компрометации. На практике аудит и тестирование обычно начинаются с исходных учетных данных, которые предоставляет заказчик. Если их нет, проникновение в инфраструктуру часто происходит через внешние веб-сервисы и ошибки на периметре (утечки паролей, небезопасные публикации, уязвимости бизнес-приложений). В российской практике одним из наиболее частых векторов для входа считается инфраструктура 1С, из-за повсеместного использования и различного уровня поддержки здесь чаще встречаются и слабые настройки, и типовые уязвимости.

https://habr.com/ru/companies/vkusvill/articles/1010812/

#вкусвилл #active_directory #тестирование #kerberos #windows #pentest

Today's fun discovery:
* if you set the `+needchange` flag on a user's #Kerberos principal, the command-line utilities all do the right thing
* in my experience, the same is true of `pam_krb5` when it's configured to be first in the authentication stack
* but if you also have pam_duo configured, it will fight with pam_krb5 and both will fail, locking the user out rather than allowing them to change their password

I haven't figured out how to test this with another 2fa module yet.

PSA for #Qutebrowser users (#Qt6 #Webengine based): we need to use this option to enable #kerberos support in `~/.config/qutebrowser/autoconfig.yaml` (for example, if you're a @fedora package maintainer and don't want to have to keep re-logging into Fedora websites):

```
qt.args:
global:
- auth-server-allowlist=*<domain>
```

Used to be `auth-server-whitelist` but changed at some point.

Reference: https://github.com/qutebrowser/qutebrowser/issues/8313

#FOSS #OpenSource

Problemy NTLM: drugie starcie. Wymuszenie uwierzytelnienia NTLM

Wstęp W poprzednim artykule poświęconym NTLM, rozebraliśmy na czynniki pierwsze podstawowe pojęcia: czym jest NetNTLM a czym hash NT, jak można przeprowadzić ataki polegające na przechwyceniu challenge NetNTLM  oraz na czym polegają podatności typu relay.   Jeżeli powyższe pojęcia nie są dla Ciebie zrozumiałe, to przed przystąpieniem do dalszej lektury, koniecznie...

#Aktualności #Teksty #ActiveDirectory #Coercion #Kerberos #Ntlm #Windows

https://sekurak.pl/problemy-ntlm-drugie-starcie-wymuszenie-uwierzytelnienia-ntlm/

Sneak peak for tomorrow's talk: #WebIDAMd providing an #OAuth token to neomutt for it to do single sign-on against an IMAP and SMTP server! OIDC slowly replacing #Kerberos on #Linux clients ;).

https://asciinema.org/a/814075

New 𝗙𝗿𝗲𝗲𝗕𝗦𝗗 𝗠𝗜𝗧 𝗞𝗲𝗿𝗯𝗲𝗿𝗼𝘀 𝗦𝗲𝗿𝘃𝗲𝗿 (FreeBSD MIT Kerberos Server) article on vermaden.wordpress.com blog.

https://vermaden.wordpress.com/2026/02/22/freebsd-mit-kerberos-server/

#verblog #freebsd #mit #kerberos #dns #nsd