Voorregte-eskalasie is die gebruik deur 'n aanvaller van die huidige regte van 'n rekening om bykomende, gewoonlik 'n hoër vlak van toegang tot die stelsel te verkry. Terwyl voorregte-eskalasie die gevolg kan wees van die ontginning van nul-dag kwesbaarhede, of die werk van eersteklas hackers wat 'n geteikende aanval doen, of slim vermomde wanware, is dit meestal as gevolg van wankonfigurasie van die rekenaar of rekening. Om die aanval verder te ontwikkel, gebruik aanvallers 'n aantal individuele kwesbaarhede, wat saam kan lei tot 'n katastrofiese datalek.
Hoekom moet gebruikers nie plaaslike administrateur regte hê nie?
As jy 'n sekuriteitspersoon is, lyk dit dalk voor die hand liggend dat gebruikers nie plaaslike administrateurregte moet hê nie, aangesien dit:
- Maak hul rekeninge meer kwesbaar vir verskeie aanvalle
- Maak daardie selfde aanvalle baie erger
Ongelukkig is dit vir baie organisasies steeds 'n baie kontroversiële kwessie en gaan dit soms gepaard met hewige besprekings (sien bv. ). Sonder om op die besonderhede van hierdie bespreking in te gaan, glo ons dat die aanvaller plaaslike administrateurregte verkry het op die stelsel wat ondersoek word, hetsy deur 'n uitbuiting of omdat die masjiene nie behoorlik beskerm is nie.
Stap 1 Keer DNS-resolusie om met PowerShell
PowerShell is standaard op baie plaaslike werkstasies en op die meeste Windows-bedieners geïnstalleer. En hoewel dit nie sonder oordrywing is dat dit as 'n ongelooflike nuttige outomatiserings- en beheerinstrument beskou word nie, is dit ewe in staat om homself in 'n byna-onsigbare te transformeer ('n inbraakprogram wat nie spore van die aanval laat nie).
In ons geval begin die aanvaller om netwerkverkenning uit te voer met behulp van 'n PowerShell-skrip, wat opeenvolgend oor die netwerk IP-adresspasie herhaal word, om te probeer vasstel of 'n gegewe IP na 'n gasheer oplos, en indien wel, wat is die netwerknaam van hierdie gasheer.
Daar is baie maniere om hierdie taak uit te voer, maar deur die cmdlet te gebruik ADComputer is 'n goeie opsie omdat dit 'n baie ryk stel data oor elke nodus gee:
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}As spoed op groot netwerke 'n probleem is, kan 'n DNS-terugbel gebruik word:
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
Hierdie metode om gashere op 'n netwerk te lys, is baie gewild, aangesien die meeste netwerke nie 'n nultrust-sekuriteitsmodel gebruik nie en nie interne DNS-versoeke vir verdagte uitbarstings van aktiwiteit monitor nie.
Stap 2: Kies 'n teiken
Die eindresultaat van hierdie stap is om 'n lys van bediener- en werkstasiegasheername te kry wat gebruik kan word om die aanval voort te sit.
Uit die naam lyk die 'HUB-FILER'-bediener na 'n waardige teiken, aangesien met verloop van tyd versamel lêerbedieners as 'n reël 'n groot aantal netwerkgidse en oormatige toegang daartoe deur te veel mense.
Deur met Windows Explorer te blaai, kan ons die teenwoordigheid van 'n oop gedeelde vouer opspoor, maar ons huidige rekening kan nie toegang daartoe kry nie (waarskynlik het ons net lysregte).
Stap 3: Leer ACL's
Nou, op ons HUB-FILER-gasheer en teikendeel, kan ons 'n PowerShell-skrip uitvoer om die ACL te kry. Ons kan dit vanaf die plaaslike masjien doen, aangesien ons reeds plaaslike administrateur regte het:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –autoUitvoering resultaat:
Daaruit sien ons dat die Domain Users-groep slegs toegang het tot die lys, maar die Helpdesk-groep het ook die regte om te verander.
Stap 4: Rekeningidentifikasie
Hardloop , kan ons alle lede van hierdie groep kry:
Get-ADGroupMember -identity Helpdesk
In hierdie lys sien ons 'n rekenaarrekening wat ons reeds geïdentifiseer het en reeds toegang verkry het:
Stap 5: Gebruik PSExec om as 'n rekenaarrekening te hardloop
van Microsoft Sysinternals laat jou toe om opdragte uit te voer in die konteks van die SYSTEM@HUB-SHAREPOINT-stelselrekening, wat ons weet 'n lid van die Helpdesk-teikengroep is. Dit wil sê, ons moet net doen:
PsExec.exe -s -i cmd.exeWel, dan het jy volle toegang tot die teikengids HUB-FILERshareHR, aangesien jy in die konteks van die HUB-SHAREPOINT-rekenaarrekening werk. En met hierdie toegang kan die data na 'n draagbare stoortoestel gekopieer word of andersins herwin en oor die netwerk versend word.
Stap 6: Bespeur hierdie aanval
Hierdie spesifieke kwesbaarheid vir die instel van rekeningvoorregte (rekenaarrekeninge wat toegang verkry tot netwerkaandele in plaas van gebruikersrekeninge of diensrekeninge) kan ontdek word. Sonder die regte gereedskap is dit egter baie moeilik om te doen.
Om hierdie kategorie aanvalle op te spoor en te voorkom, kan ons gebruik om groepe met rekenaarrekeninge daarin te identifiseer, en dan toegang daartoe te weier. gaan verder en laat jou toe om 'n kennisgewing spesifiek vir hierdie soort scenario te skep.
Die skermkiekie hieronder toon 'n pasgemaakte kennisgewing wat sal afvuur elke keer as 'n rekenaarrekening toegang tot data op 'n gemonitorde bediener verkry.
Volgende stappe met PowerShell
Wil jy meer weet? Gebruik die "blog" ontsluit kode vir gratis toegang tot die volle .
Bron: will.com