Source : TrustedSec — Dans une analyse technique, les chercheurs décrivent une méthode d’exploitation de Windows Server Update Services (WSUS) par relais NTLM permettant de capter des identifiants de machines (et parfois d’utilisateurs) et de les relayer vers d’autres services d’entreprise.
L’attaque s’appuie sur un attaquant présent sur le réseau local réalisant de l’ARP/DNS spoofing pour intercepter le trafic WSUS. Les communications des clients WSUS sont redirigées vers un listener ntlmrelayx contrôlé par l’attaquant, ce qui expose les flux d’authentification NTLM.
Les configurations WSUS en HTTP sont vulnérables avec un simple accès réseau. Pour WSUS en HTTPS, l’attaquant a besoin d’un certificat de confiance obtenu via des modèles AD CS autorisant « Enrollee Supplies Subject ». Les endpoints WSUS visés incluent ClientWebService/client.asmx et ReportingWebService/reportingwebservice.asmx, avec des redirections sur les ports 8530/8531 (par exemple via des règles iptables NAT).
Une fois capturées, les authentifications peuvent être relayées vers LDAP ou SMB, facilitant l’escalade de privilèges et la lateral movement grâce à la position de confiance de WSUS au sein des réseaux d’entreprise.
Mesures mises en avant : forcer HTTPS, sécuriser les modèles de certificats, activer la signature SMB/LDAP, et empêcher les attaques de spoofing réseau. L’article fournit une démonstration centrée sur la chaîne d’attaque et ses vecteurs.
IOC(s)
- Aucun indicateur d’intrusion spécifique fourni (hash, IP, domaine).
TTP(s)
- Accès initial/Man-in-the-Middle : ARP spoofing, DNS spoofing.
- Exploitation/Relais : NTLM relay avec ntlmrelayx.
- Détournement de service : WSUS (HTTP/HTTPS), endpoints client.asmx et reportingwebservice.asmx.
- Mouvement/Esclade : Relais vers LDAP/SMB, lateral movement, escalade de privilèges.
- Évasion/Ingénierie PKI : AD CS avec modèles « Enrollee Supplies Subject ».
- Infrastructure : Redirections ports 8530/8531, iptables NAT.
Type d’article : publication de recherche visant à exposer une technique d’exploitation et ses mitigations.
🔗 Source originale : https://trustedsec.com/blog/wsus-is-sus-ntlm-relay-attacks-in-plain-sight