WSUS Is SUS: NTLM Relay Attacks in Plain Sight

Windows Server Update Services（WSUS）是许多环境中补丁管理的可信基石，但其对HTTP/HTTPS流量的依赖使其成为本地网络攻击者的主要目标。通过拦截和中继WSUS身份验证流，攻击者可以捕获用户和机器账户的NTLM哈希，将常规更新流量转变为凭据盗窃和中继攻击的机会。

WSUS Primer

WSUS是微软的补丁分发平台，旨在集中和控制更新如何流入企业。组织部署WSUS作为可信中间人，端点向WSUS服务器注册、定期检查并下载管理员批准的更新。默认情况下，此流量通过8530/TCP（HTTP）或8531/TCP（HTTPS）流动。

未经身份验证的WSUS枚举可以通过扫描或拦截流量执行。对8530/TCP和8531/TCP的简单Nmap扫描通常可以识别WSUS服务器。

从身份验证角度，可以通过审查SYSVOL中存储的组策略设置来枚举WSUS。由于WSUS配置通常通过GPO推送，相关值通常可以在Machine_Registry.pol文件中找到。

为演示WSUS枚举和利用技术，建立了以下实验室环境：

对于HTTP利用演示，WUServer和WUStatusServer设置为http://dc1.smoke.local:8530。由于此流量通过HTTP流动，容易在本地子网上被劫持。

使用arpspoof进行ARP欺骗，将客户端WSUS流量重定向到攻击者系统。通过iptables NAT规则将8530/TCP流量重定向到ntlmrelayx监听端口。

当WSUS配置为HTTPS时，攻击者需要获取受WSUS客户端信任的证书。这可以通过Active Directory Certificate Services（AD CS）实现，但需要访问可以注册配置了"Enrollee Supplies Subject"的证书模板的账户。

此攻击链的缓解措施从强化WSUS通信方式开始。在WSUS上启用HTTPS可以防止从未经身份验证的角度进行利用，并阻止攻击者通过HTTP轻易获取机器或用户凭据。

总之，WSUS可以通过在本地子网中欺骗客户端来利用，使攻击者能够拦截和中继流量以捕获机器和用户哈希。即使WSUS配置为HTTPS，如果可以获得受信任的证书，相同的攻击仍然可能。