Show threadWho Let The Dogs Out 🐾Mar 3

Алгоритм эксплуатации.

#red_team #AD #policy #gpo #password_policy

Получить нужные права.
Выбрать желаемый пароль (например, «1») и вычислить его NTLM-хеш.

Установить RPC-соединение с контроллером домена по SAMR-протоколу.

Вызвать SamrSetInformationUser с параметром InformationClass = UserInternal1Information (значение 18) и передать 16-байтный NT-хеш в соответствующей структуре.

Хэш мгновенно записывается в атрибут ntPassword базы AD — без проверок сложности, длины, истории, фильтров или GPO.

В результате на учетку устанавливается любой слабый пароль. Процесс происходит внутри LSASS на контроллере домена, plaintext-пароль не требуется, стандартные механизмы защиты не срабатывают.

Подробности и PoC:

https://simpity.eu/blog/ad-password-policies-security-theater

Simpity | Built Deep for Security

Engineering security at the undocumented layer of Windows. Kernel-level interception, authentication flow control, and Patch Tuesday resilience.

Who Let The Dogs Out 🐾Mar 3

Обход политик сложности паролей в Active Directory с RPC-функцией SamrSetInformationUser

#red_team #AD #policy #gpo #password_policy

Традиционные парольные политики в AD — классический security theater, создают иллюзию защиты, на практике ухудшая безопасность, провоцируя пользователей на предсказуемые вариации паролей. Но скорее это демонстрация бесполезности легаси-политик, если можно напрямую манипулировать хэшем.

Ключевой аргумент — все требования к сложности, длине, истории паролей и фильтрам легко обходятся через RPC-функцию SamrSetInformationUser (интерфейс SAMR). Она позволяет напрямую записывать 16-байтный NTLM-хэш учетной записи в базу AD, не передавая plaintext-пароль, поэтому ни одна проверка не запускается.

Для эксплуатации достаточно делегированных прав по сбросу пароля на целевую учетную запись. Такие права часто выдаются helpdesk, менеджерам и т.п.