Ataque MITM6 NTLM Relay Permite Escalada de Privilégios e Domínios

BR Defense Center (By River de Morais e Silva)
ataque

Pesquisadores de cibersegurança da Resecurity revelaram uma técnica de ataque sofisticada que explora configurações padrão de redes Windows, permitindo a compromissão total de domínios. O ataque MITM6 + NTLM Relay combina a auto-configuração IPv6 maliciosa com técnicas de retransmissão de credenciais, escalando privilégios e comprometendo ambientes do Active Directory. O método não depende de vulnerabilidades zero-day ou malware, mas sim de configurações frequentemente negligenciadas pelos administradores. Ao se conectar a redes, máquinas Windows enviam automaticamente solicitações DHCPv6, que podem ser respondidas por atacantes usando a ferramenta mitm6, redirecionando as máquinas vítimas para servidores DNS maliciosos. Uma vez que o tráfego DNS é comprometido, os atacantes podem interceptar solicitações WPAD e capturar credenciais de autenticação. A gravidade do ataque aumenta com a configuração padrão do Active Directory, que permite que qualquer usuário autenticado adicione até 10 contas de máquina ao domínio. Medidas de mitigação recomendadas incluem desativar o IPv6 quando não utilizado, implementar DHCPv6 Guard e reforçar a assinatura SMB e LDAP. A pesquisa destaca a importância de endurecer configurações padrão e minimizar suposições de confiança em ambientes de rede.

Fonte: https://cyberpress.org/mitm6-ntlm-relay-attack/

🚨
BR DEFENSE CENTER: SECURITY BRIEFING
21/08/2025 • Risco: CRITICO
ATAQUE

Ataque MITM6 + NTLM Relay Permite Escalada de Privilégios e Domínios

RESUMO EXECUTIVO
O ataque MITM6 + NTLM Relay representa uma ameaça crítica para organizações que utilizam Active Directory, permitindo a escalada de privilégios e comprometimento de domínios inteiros. As medidas de mitigação são urgentes e devem ser implementadas para evitar consequências financeiras e de reputação.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras significativas devido a interrupções de serviços e roubo de dados.
Operacional
Comprometimento total de domínios e roubo de credenciais.
Setores vulneráveis
['Tecnologia da Informação', 'Finanças', 'Saúde']

📊 INDICADORES CHAVE

Permissão para adicionar até 10 contas de máquina por usuário autenticado. Indicador
Uso de técnicas de retransmissão de credenciais para acesso não autorizado. Contexto BR
Impacto potencial em serviços e dados sensíveis. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar se o IPv6 está desativado em redes que não o utilizam.
2 Implementar DHCPv6 Guard para bloquear anúncios não autorizados.
3 Monitorar continuamente a criação de contas e a presença de servidores DHCPv6 maliciosos.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a possibilidade de compromissos rápidos e abrangentes em suas redes, especialmente em ambientes que utilizam Active Directory.

⚖️ COMPLIANCE

Implicações legais e de conformidade com a LGPD em caso de vazamento de dados.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).