Wykorzystywanie dostępu administratora lokalnego
Powszechnie uznaje się, że przyznawanie użytkownikom lokalnych uprawnień administracyjnych jest nierozsądne i może nasilać skutki incydentów bezpieczeństwa. Niemniej jednak przekazanie tego kierownictwu wyższego szczebla może napotkać opór. Wymaganie od użytkowników szukania pomocy IT za każdym razem, gdy muszą zainstalować program, może obniżyć produktywność i stworzyć wąskie gardło w dziale IT.
Podczas wykonywania testów penetracyjnych kluczowe znaczenie ma zrozumienie kultury bezpieczeństwa organizacji i istniejących mechanizmów autoryzacji podczas wybierania celu. Jeśli dział ma większą władzę niż dział IT i może wykorzystać swoje wpływy polityczne w celu uzyskania przywilejów, osoby z tego zespołu powinny być głównym celem pentestów. Co więcej, każdy zespół odpowiedzialny za dostarczanie krytycznych usług i podlegający częstym zmianom również powinien być traktowany priorytetowo jako cele. Dzieje się tak dlatego, że często posiadają dostęp, który przekracza ich rzeczywiste wymagania.
Kogo to obchodzi?
Często nie jest zrozumiałe, dlaczego ma to znaczenie. Można by pomyśleć, że zapory sieciowe, programy antywirusowe i inne metody ochrony są wystarczające do zapobiegania atakom. Krótka odpowiedź brzmi: nie, nie. Atakujący mogą wykorzystać legalny dostęp do stopniowej eksfiltracji danych. Na przykład, jeśli osoba atakująca uzyska dostęp do systemu z uprawnieniami lokalnego administratora, może podjąć próbę wyodrębnienia bazy danych Security Account Manager (SAM), która jest przechowywana w gałęzi SAM w rejestrze systemu Windows. Może to prowadzić do naruszenia poświadczeń, których można następnie użyć w celu uzyskania dostępu do dodatkowych zasobów.
Konta usług i administrator lokalny
Użytkownicy z podwyższonymi uprawnieniami często posiadają konta usług, z których niektóre mogą być źle skonfigurowane i przyznawać dostęp do domeny. Może to spowodować naruszenie ich poświadczeń. Ponieważ konta usług mogą być buforowane w systemie lokalnym, poświadczenia można wyodrębnić z Menedżera poświadczeń systemu Windows za pomocą interfejsu API ochrony danych (DPAPI). Menedżer poświadczeń systemu Windows szyfruje dane, gdy użytkownik lub usługa dodaje poświadczenia, a DPAPI używa klucza pochodzącego z poświadczeń logowania użytkownika lub systemu do ich zaszyfrowania. Jednak ten sam klucz może zostać użyty do odszyfrowania poświadczeń i potencjalnego ujawnienia hasła w postaci zwykłego tekstu.
Podczas moich testów penetracyjnych odkryłem, że kilka systemów tworzenia kopii zapasowych zostało źle skonfigurowanych i przyznano im uprawnienia administratora domeny. Takie błędne konfiguracje często wynikają ze starszych systemów lub, w niektórych przypadkach, ze względu na wygodę. Podkreśla to utrzymujący się konflikt między zachowaniem poufności i integralności a zapewnieniem dostępności.
Uzyskanie dostępu do kontrolerów domeny
W przypadku, gdy konto administratora domeny jest buforowane w systemie lokalnym, istnieje możliwość wyodrębnienia poświadczeń z pliku ntds.dit. Plik ntds.dit zawiera bazę danych usługi Active Directory na kontrolerze domeny i zawiera poufne informacje, takie jak szczegóły konta użytkownika, hasła i inne dane związane z bezpieczeństwem. Uzyskując te poświadczenia, osoba atakująca może potencjalnie je złamać lub przenieść w inne miejsce w organizacji, aby kontynuować złośliwe działania.
Uzyskiwanie dostępu do innych Haseł, Kluczy i Tajemnic
Po raz kolejny widzimy, jak dostęp lokalnego administratora może prowadzić do efektu kaskadowego. W przypadku naruszenia bezpieczeństwa konta administratora domeny osoba atakująca będzie mogła uzyskać dostęp do wpisów tajnych usługi Azure AD. Mając dostęp do wszystkich poświadczeń w domenie, osoba atakująca może wykonać szereg złośliwych działań, takich jak logowanie do aplikacji internetowych i kradzież poświadczeń z plików konfiguracyjnych lub innych baz danych. Ponadto mogą opracowywać aplikacje w ramach dzierżawy w celu eksfiltracji dużych ilości danych. Chociaż istnieją zabezpieczenia, które ostrzegają organizacje przed takimi incydentami, nadal istnieje ryzyko, że takie ataki mogą pozostać niezauważone. Dlatego ważne jest, aby rozważyć, czy Twoja organizacja posiada niezbędną siłę roboczą i umiejętności do wykrywania takich ataków i reagowania na nie.
Niektóre rzeczy, które może zrobić Blue Team
Po pierwsze, nie nadawaj użytkownikom domeny uprawnień administratora lokalnego. Zamiast tego lepiej jest zapewnić lokalne konto administratora z ograniczeniami, aby umożliwić eskalację uprawnień. Wskazane jest, aby najpierw spróbować skorzystać z wbudowanych narzędzi systemu Windows. Zdarzały się przypadki, gdy departamenty zgłaszały, że niektóre aplikacje nie mogą działać przy użyciu wbudowanych narzędzi systemu Windows, takich jak polecenie „runas” i usługa „Logowanie dodatkowe”, która umożliwia użytkownikowi uruchamianie aplikacji lub procesów jako inny użytkownik z podwyższonymi uprawnieniami . Niemniej jednak zaleca się wstępne zbadanie tych wbudowanych narzędzi jako sposobu na zapewnienie dostępu.
Jeśli bezwzględnym wymogiem jest przyznanie użytkownikowi uprawnień administratora, wskazane jest zachowanie papierowego śladu dokumentującego brak zgody na decyzję podczas wdrażania wymogu. Chociaż rozumiemy powód takiego wymogu, naszą następną najlepszą opcją jest ograniczenie dostępu konta administratora do poufnych plików związanych z poświadczeniami i poddanie jego działań ścisłemu monitorowaniu w SIEM. W szczególności zaleca się zablokowanie dostępu do następujących plików:
SAM
: Ten plik znajduje się w%SystemRoot%\System32\Config
katalogu na komputerze z systemem Windows.secrets
: Ten folder znajduje się w%SystemRoot%\System32\Microsoft\Protect
katalogu na komputerze z systemem Windows.
Jak przyniesienie noża na strzelaninę
Zapewnienie lokalnego dostępu administratora jest niebezpieczną praktyką, która stwarza poważne ryzyko dla organizacji. Chociaż przyznanie wyjątków zasad bezpieczeństwa ze względu na wygodę może wydawać się realną opcją, roboczogodziny i koszty reagowania na incydenty są często znacznie wyższe niż potencjalna korzyść. Zawsze zaleca się informowanie o powiązanych zagrożeniach zespołów, które zgłaszają zapotrzebowanie na zasób, który może zagrozić bezpieczeństwu. W niektórych przypadkach przydatne może być nawet przedstawienie dowodu słuszności koncepcji, który pokazuje wpływ. Takie podejście może być skutecznym sposobem edukowania użytkowników, w jaki sposób ich działania mogą wpłynąć na całą organizację i pomóc im uzyskać lepszą perspektywę na problem.
Wniosek:
Należy pamiętać, że bezpieczeństwo IT jest wartością dodaną dla organizacji, a jego celem nie jest tworzenie wrogich relacji. Zespół ds. bezpieczeństwa powinien wyjaśnić, że jest odpowiedzialny za ochronę krytycznych zasobów organizacji. Wdrożenie skutecznych środków bezpieczeństwa IT może zmniejszyć ryzyko utraty danych, kradzieży i przestoju systemu, umożliwiając w ten sposób organizacji utrzymanie ciągłości biznesowej i uniknięcie kosztownych kar prawnych i regulacyjnych. Ponadto solidne środki bezpieczeństwa IT mogą zwiększyć zaufanie klientów, co skutkuje zwiększonymi możliwościami biznesowymi i wzrostem przychodów. Ostatecznie inwestowanie w bezpieczeństwo IT jest kluczowym elementem ogólnego zarządzania ryzykiem i solidną strategią biznesową, która może pomóc organizacjom odnieść sukces w dzisiejszym szybko ewoluującym krajobrazie cyfrowym.
Spinki do mankietów:
- Zobacz, co robię na Twitterze:https://twitter.com/R_Eric_Kiser
- Subskrybuj!https://medium.com/@ekiser_48014/subscribe