WSUS Is SUS: NTLM中继攻击的隐蔽威胁

Windows Server Update Services（WSUS）作为许多环境中补丁管理的可信基石，但其对HTTP/HTTPS流量的依赖使其成为本地网络攻击者的主要目标。通过拦截和重放WSUS认证流，攻击者可以捕获用户和机器账户的NTLM哈希，将常规更新流量转变为凭证窃取和中继攻击的机会。

WSUS基础

WSUS是微软的补丁分发平台，旨在集中控制企业更新流程。端点向WSUS服务器注册，定期检查并下载管理员批准的更新。默认情况下，该流量通过8530/TCP（HTTP）或8531/TCP（HTTPS）端口传输。

通过Nmap扫描8530/TCP和8531/TCP端口可以识别WSUS服务器：

1

nmap -sSVC -Pn --open -p 8530,8531 -iL <host_list>

另一种方法是通过ARP欺骗或DNS欺骗结合wsusniff.py工具拦截HTTP流量。

通过审查SYSVOL中的组策略设置可以枚举WSUS配置。使用wsuspider.sh工具可以自动化搜索WSUS相关注册表键值。

当WUServer和WUStatusServer配置为HTTP时，攻击者可以通过ARP欺骗重定向流量：

1

arpspoof -i ens33 -t <wsus_client_ip> <wsus_server_ip>

结合iptables重定向和ntlmrelayx工具，可以中继认证请求到SMB、LDAP/S或AD CS。

即使WSUS配置为HTTPS，攻击者仍可通过AD CS获取可信证书进行攻击。使用Certipy枚举证书模板：

1

certipy find -u <username> -p <password> -dc-ip <IP> -enabled

获取证书后，使用ntlmrelayx启动HTTPS监听器进行中继攻击。

WSUS在本地子网中易受攻击，攻击者可通过欺骗手段拦截和重放认证流量。即使配置HTTPS，若攻击者能获取可信证书，同样可以实施攻击。组织需要全面加强WSUS和相关基础设施的安全防护。