Sfruttare l'accesso dell'amministratore locale

May 08 2023
Comprendere il problema associato all'autorizzazione all'accesso dell'amministratore locale e all'implementazione di misure per limitare i privilegi.
È ampiamente riconosciuto che concedere privilegi amministrativi locali agli utenti non è saggio e può amplificare l'impatto degli incidenti di sicurezza. Tuttavia, trasmettere questo al senior management può incontrare resistenza.

È ampiamente riconosciuto che concedere privilegi amministrativi locali agli utenti non è saggio e può amplificare l'impatto degli incidenti di sicurezza. Tuttavia, trasmettere questo al senior management può incontrare resistenza. Richiedere agli utenti di richiedere assistenza IT ogni volta che devono installare un programma può ostacolare la produttività e creare un collo di bottiglia nel reparto IT.

Durante un impegno di test di penetrazione, è fondamentale cogliere la cultura della sicurezza dell'organizzazione e i meccanismi di autorizzazione esistenti quando si seleziona un obiettivo. Se un reparto detiene più potere del reparto IT e può sfruttare la propria influenza politica per ottenere privilegi, le persone di quel team dovrebbero essere al centro dell'attenzione per il pentesting. Inoltre, tutti i team responsabili della fornitura di servizi critici e sottoposti a frequenti cambiamenti dovrebbero avere la priorità come obiettivi. Questo perché spesso possiedono un accesso che supera i loro effettivi requisiti.

Che importa?

Spesso, non si capisce perché sia ​​importante. Si potrebbe pensare che firewall, antivirus e altri metodi di protezione siano sufficienti per prevenire gli attacchi. La risposta breve è no. Gli aggressori possono utilizzare l'accesso legittimo per esfiltrare gradualmente i dati. Ad esempio, se un utente malintenzionato ottiene l'accesso a un sistema con privilegi di amministratore locale, potrebbe tentare di estrarre il database SAM (Security Account Manager), che è archiviato nell'hive SAM nel registro di Windows. Ciò può portare alla compromissione delle credenziali, che possono quindi essere utilizzate per ottenere l'accesso a risorse aggiuntive.

Account di servizio e amministratore locale

È comune per gli utenti con privilegi elevati possedere account di servizio, alcuni dei quali potrebbero essere configurati in modo errato e concedere l'accesso al dominio. Ciò può comportare la compromissione delle loro credenziali. Poiché gli account di servizio possono essere memorizzati nella cache nel sistema locale, le credenziali possono essere estratte da Windows Credential Manager utilizzando l'API di protezione dei dati (DPAPI). Windows Credential Manager crittografa i dati quando un utente o un servizio aggiunge una credenziale e DPAPI utilizza una chiave derivata dalle credenziali di accesso dell'utente o dal sistema per crittografarla. Tuttavia, questa stessa chiave può essere utilizzata per decrittografare le credenziali e potenzialmente rivelare una password in chiaro.

Durante i miei impegni di test di penetrazione, ho scoperto che diversi sistemi di backup erano configurati in modo errato e concessi privilegi di amministratore di dominio. Tali configurazioni errate spesso derivano da sistemi legacy o, in alcuni casi, per comodità. Ciò evidenzia il conflitto persistente tra il mantenimento della riservatezza e dell'integrità rispetto alla garanzia della disponibilità.

Ottenere l'accesso ai controller di dominio

Nel caso in cui un account amministratore di dominio sia memorizzato nella cache su un sistema locale, è possibile estrarre le credenziali dal file ntds.dit. Il file ntds.dit ospita il database di Active Directory su un controller di dominio e contiene informazioni riservate come dettagli dell'account utente, password e altri dati relativi alla sicurezza. Ottenendo queste credenziali, un utente malintenzionato può potenzialmente violarle o spostarsi lateralmente all'interno dell'organizzazione per continuare le proprie attività dannose.

Ottenere l'accesso ad altre password, chiavi e segreti

Ancora una volta, vediamo come l'accesso dell'amministratore locale può portare a un effetto a cascata. Nel caso in cui un account amministratore di dominio venga compromesso, l'autore dell'attacco potrebbe accedere ai segreti di Azure AD. Con l'accesso a tutte le credenziali sul dominio, l'aggressore può eseguire una serie di attività dannose come l'accesso alle applicazioni Web e il furto delle credenziali dai file di configurazione o da altri database. Inoltre, possono sviluppare applicazioni all'interno del tenant per esfiltrare grandi quantità di dati. Sebbene esistano protezioni per avvisare le organizzazioni di tali incidenti, esiste ancora il rischio che tali attacchi passino inosservati. È quindi importante considerare se la tua organizzazione possiede la forza lavoro e le competenze necessarie per rilevare e rispondere a tali attacchi.

Alcune cose che il Blue Team può fare

Innanzitutto, non concedere agli utenti del dominio diritti di amministratore locale. Piuttosto, è meglio fornire un account amministratore locale limitato per consentire l'escalation dei privilegi. Si consiglia di tentare prima di utilizzare gli strumenti integrati di Windows. Ci sono stati casi in cui i reparti hanno segnalato che alcune applicazioni non potevano funzionare utilizzando strumenti integrati di Windows come il comando "runas" e il servizio "Secondary Logon", che consente a un utente di eseguire applicazioni o processi come utente diverso con privilegi elevati . Tuttavia, si consiglia di esplorare inizialmente questi strumenti integrati come mezzo per fornire l'accesso.

Se è un requisito assoluto che a un utente vengano concessi i diritti di amministratore, è consigliabile conservare una traccia cartacea che documenti il ​​tuo disaccordo con la decisione durante l'implementazione del requisito. Sebbene comprendiamo il motivo di tale requisito, la nostra prossima migliore opzione è limitare l'accesso dell'account amministratore a file sensibili relativi alle credenziali e sottoporre le loro attività a un attento monitoraggio nel tuo SIEM. In particolare, si consiglia di bloccare l'accesso ai seguenti file:

  1. SAM: questo file si trova nella %SystemRoot%\System32\Configdirectory su un computer Windows.
  2. secrets: questa cartella si trova nella %SystemRoot%\System32\Microsoft\Protectdirectory su un computer Windows.

Come portare un coltello a uno scontro a fuoco

Fornire l'accesso amministrativo locale è una pratica non sicura che comporta rischi significativi per un'organizzazione. Anche se la concessione di esclusioni di criteri di sicurezza per motivi di convenienza può sembrare un'opzione praticabile, i costi delle ore di lavoro e della risposta agli incidenti sono spesso molto superiori al potenziale vantaggio. È sempre consigliabile comunicare i rischi associati ai team che esprimono la necessità di una risorsa che potrebbe compromettere la sicurezza. In alcuni casi, può anche essere utile fornire una prova di concetto che dimostri l'impatto. Questo approccio può essere un modo efficace per educare gli utenti su come le loro azioni potrebbero avere un impatto sull'intera organizzazione e aiutarli a ottenere una prospettiva migliore sul problema.

Conclusione:

È importante tenere presente che la sicurezza IT è un valore aggiunto per l'organizzazione e il suo scopo non è quello di creare una relazione conflittuale. Il team di sicurezza dovrebbe chiarire che è responsabile della protezione delle risorse critiche dell'organizzazione. L'implementazione di efficaci misure di sicurezza IT può mitigare il rischio di perdita di dati, furto e tempi di inattività del sistema, consentendo così all'organizzazione di mantenere la continuità aziendale ed evitare costose sanzioni legali e normative. Inoltre, solide misure di sicurezza IT possono aumentare la fiducia e la fiducia dei clienti, con conseguenti maggiori opportunità di business e crescita dei ricavi. In definitiva, investire nella sicurezza IT è un elemento vitale della gestione complessiva del rischio e una solida strategia aziendale che può aiutare le organizzazioni ad avere successo nel panorama digitale in rapida evoluzione di oggi.

Link:

  • Guarda cosa sto facendo su Twitter:https://twitter.com/R_Eric_Kiser
  • Sottoscrivi!https://medium.com/@ekiser_48014/subscribe