L'avvelenamento ARP e lo spoofing IP sono un modo per farlo con nient'altro che un nodo sulla rete.
In generale, ciò che si finisce per impersonare il server AD durante la negoziazione. I dettagli tecnici probabilmente non sono interessanti in questo contesto, ma se fai finta di essere il server AD, puoi fare un sacco di cose.
Una di queste cose potrebbe essere fingere di supportare solo l'autenticazione NTLM e quindi invocare un protocollo molto debole che comporta il passaggio di un hash molto debole che è possibile crackare in poche ore sul laptop e quindi recuperare le password.
Potresti anche essere in grado di sfruttare un punto debole di Kerberos se ne hai uno, poiché l'autenticazione di bind può essere eseguita anche in questo caso. L'altro metodo di autenticazione che potresti forzare sarebbe digest-md5, che è più strong di NTLM, ma non troppo.
Se sei veramente bravo, puoi passare l'autenticazione al vero server AD e passare al proxy (MitM) tutta la comunicazione tra il client e il server per tutto il tempo in cui puoi mantenere lo spoof. Nessuno noterà molto. Tuttavia, Kerberos lo rende difficile.
Quindi, per quanto breve e breve, l'hacker potrebbe recuperare gli hash delle password e ha la capacità di influenzarli in modo molto debole. Questo può compromettere le password.
L'hacker potrebbe anche essere in grado di eseguire l'autenticazione sniff (kerberos), anche se questo è più difficile nei segmenti di rete commutati e praticamente impossibile con 802.1x.
In particolare, Kerberos rende questo tipo di cose abbastanza difficile da realizzare. Ad esempio, la password viene utilizzata solo per generare una chiave condivisa tra il server e la workstation (il server conserva la chiave, cambiandola solo quando la password cambia), quindi non c'è una vera password da decifrare. Questa chiave è utilizzata per proteggere le comunicazioni. Tuttavia, la chiave è simmetrica e un utente malintenzionato potrebbe teoricamente annusare tutti i dati di Kerberos che transitano nella rete, trovare la chiave e quindi trovare una password che generi questa chiave (onestamente sebbene la chiave sia in genere sufficiente). Questo è difficile. Microsoft ha un articolo che include dettagli precisi su come funziona tutto questo, incluso Kerberos .
Se, tuttavia, si sta vincolando ad AD come se fosse LDAP e si facessero cose come reimpostare le password o autenticare usando il metodo plain, dovresti assolutamente fornire un certificato SSL e crittografare il tuo traffico.