L'escalada de privilegis és l'ús per part d'un atacant dels drets actuals d'un compte per obtenir un nivell d'accés addicional, generalment més elevat, al sistema. Tot i que l'escalada de privilegis pot ser el resultat de l'explotació de vulnerabilitats de dia zero, o del treball de pirates informàtics de primera classe que duen a terme un atac dirigit, o programari maliciós intel·ligentment disfressat, sovint es deu a una configuració incorrecta de l'ordinador o del compte. Desenvolupant encara més l'atac, els atacants utilitzen una sèrie de vulnerabilitats individuals, que en conjunt poden provocar una fuga de dades catastròfica.
Per què els usuaris no haurien de tenir drets d'administrador local?
Si sou un professional de la seguretat, pot semblar obvi que els usuaris no haurien de tenir drets d'administrador local, com aquest:
- Fa que els seus comptes siguin més vulnerables a diversos atacs
- Fa que aquests mateixos atacs siguin molt més greus
Malauradament, per a moltes organitzacions aquest és encara un tema molt controvertit i de vegades s'acompanya de discussions acalorades (vegeu, per exemple, ). Sense entrar en els detalls d'aquesta discussió, creiem que l'atacant va obtenir drets d'administrador local del sistema investigat, ja sigui mitjançant un exploit o perquè les màquines no estaven degudament protegides.
Pas 1 Inverteix la resolució de DNS amb PowerShell
Per defecte, PowerShell s'instal·la a moltes estacions de treball locals i a la majoria de servidors Windows. I tot i que no és sense exageració que es considera una eina d'automatització i control increïblement útil, és igualment capaç de transformar-se en una eina gairebé invisible. (un programa de pirateria informàtica que no deixa rastres de l'atac).
En el nostre cas, l'atacant comença a fer reconeixement de la xarxa mitjançant un script de PowerShell, iterant seqüencialment a través de l'espai d'adreces IP de la xarxa, intentant determinar si una IP determinada es resol en un host i, si és així, quin és el nom de xarxa d'aquest amfitrió.
Hi ha moltes maneres de realitzar aquesta tasca, però utilitzant el cmdlet ADComputer és una opció sòlida perquè retorna un conjunt de dades molt ric sobre cada node:
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}Si la velocitat en xarxes grans és un problema, es pot utilitzar una devolució de trucada DNS:
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
Aquest mètode d'enumerar els amfitrions d'una xarxa és molt popular, ja que la majoria de xarxes no utilitzen un model de seguretat de confiança zero i no supervisen les sol·licituds de DNS internes per detectar explosions d'activitat sospitoses.
Pas 2: trieu un objectiu
El resultat final d'aquest pas és obtenir una llista de noms d'amfitrió de servidors i estacions de treball que es poden utilitzar per continuar l'atac.
Des del nom, el servidor 'HUB-FILER' sembla un objectiu digne, ja que Amb el pas del temps, els servidors de fitxers, per regla general, acumulen un gran nombre de carpetes de xarxa i hi accedeixen massa gent.
La navegació amb l'Explorador de Windows ens permet detectar la presència d'una carpeta compartida oberta, però el nostre compte actual no hi pot accedir (probablement només tenim drets de llista).
Pas 3: aprèn les ACL
Ara, al nostre amfitrió HUB-FILER i al nostre objectiu compartit, podem executar un script de PowerShell per obtenir l'ACL. Ho podem fer des de la màquina local, ja que ja tenim drets d'administrador local:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –autoResultat de l'execució:
A partir d'ell veiem que el grup Usuaris del domini només té accés a la llista, però el grup Helpdesk també té els drets per canviar.
Pas 4: Identificació del compte
Córrer , podem obtenir tots els membres d'aquest grup:
Get-ADGroupMember -identity Helpdesk
En aquesta llista veiem un compte d'ordinador al qual ja hem identificat i ja hem accedit:
Pas 5: utilitzeu PSExec per executar-se com a compte d'ordinador
de Microsoft Sysinternals us permet executar ordres en el context del compte del sistema SYSTEM@HUB-SHAREPOINT, que sabem que és membre del grup objectiu del servei d'ajuda. És a dir, només hem de fer:
PsExec.exe -s -i cmd.exeBé, llavors teniu accés complet a la carpeta de destinació HUB-FILERshareHR, ja que esteu treballant en el context del compte d'ordinador HUB-SHAREPOINT. I amb aquest accés, les dades es poden copiar a un dispositiu d'emmagatzematge portàtil o recuperar-les i transmetre a través de la xarxa.
Pas 6: Detecció d'aquest atac
Es pot descobrir aquesta vulnerabilitat particular d'ajust de privilegis de compte (comptes d'ordinador que accedeixen a recursos compartits de xarxa en lloc de comptes d'usuari o comptes de servei). Tanmateix, sense les eines adequades, això és molt difícil de fer.
Per detectar i prevenir aquesta categoria d'atacs, podem utilitzar per identificar grups amb comptes d'ordinador i després negar-hi l'accés. va més enllà i us permet crear una notificació específicament per a aquest tipus d'escenaris.
La captura de pantalla següent mostra una notificació personalitzada que s'activarà cada vegada que un compte d'ordinador accedeixi a dades en un servidor supervisat.
Següents passos amb PowerShell
Vols saber-ne més? Utilitzeu el codi de desbloqueig del "bloc" per accedir gratuïtament al complet .
Font: www.habr.com