L'escalazione di u privilegiu hè l'usu da un attaccu di i diritti attuali di un contu per guadagnà più, di solitu un livellu più altu di accessu à u sistema. Mentre chì l'escalation di privilegiu pò esse u risultatu di sfruttà i vulnerabilità zero-day, o u travagliu di i pirate di prima classe chì realizanu un attaccu miratu, o malware cleverly disguised, hè più spessu duvuta à misconfiguration di l'urdinatore o di u contu. Sviluppendu l'attaccu in più, l'attaccanti utilizanu una quantità di vulnerabilità individuali, chì inseme ponu purtà à una fuga di dati catastròfica.
Perchè l'utilizatori ùn anu micca i diritti di amministratore locale?
Sè vo site un prufessiunali di sicurità, pò esse ovvi chì l'utilizatori ùn devenu micca diritti di amministratore locale, cum'è questu:
- Rende i so cunti più vulnerabili à diversi attacchi
- Rende questi stessi attacchi assai più severi
Sfurtunatamente, per parechje urganisazioni questu hè sempre un tema assai cuntruversu è hè qualchì volta accumpagnatu da discussioni accese (vede, per esempiu, ). Senza entre in i dettagli di sta discussione, credemu chì l'attaccante hà guadagnatu i diritti di l'amministratore lucale nantu à u sistema investigatu, sia per un sfruttamentu, sia perchè e macchine ùn sò micca prutette bè.
Passu 1 Reverse Resolution DNS cù PowerShell
Per automaticamente, PowerShell hè stallatu in parechje stazioni di travagliu lucali è in a maiò parte di i servitori Windows. È ancu s'ellu ùn hè micca senza esagerazione chì hè cunsideratu un strumentu d'automatizazione è di cuntrollu incredibilmente utile, hè ugualmente capace di trasfurmà in un quasi invisibile. (un prugramma di pirate chì ùn lascia micca traccia di l'attaccu).
In u nostru casu, l'attaccante cumencia à eseguisce a ricunniscenza di a rete utilizendu un script PowerShell, iterendu in sequenza nantu à u spaziu di l'indirizzu IP di a rete, pruvatu à determinà se un IP determinatu si risolve à un òspite, è se cusì, quale hè u nome di a rete di questu host.
Ci hè parechje manere di fà stu compitu, ma cù u cmdlet ADComputer hè una opzione solida perchè torna un inseme veramente riccu di dati nantu à ogni nodu:
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}Se a velocità in e grande rete hè un prublema, allora una callback DNS pò esse usata:
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
Stu metudu di listinu di l'ospiti in una reta hè assai populari, postu chì a maiò parte di e rete ùn utilizanu micca un mudellu di sicurezza di fiducia zero è ùn monitoranu micca e dumande internu di DNS per scoppi suspetti di attività.
Passu 2: Sceglite un mira
U risultatu finali di stu passu hè di ottene una lista di i servitori è i nomi d'ospiti di stazioni di travagliu chì ponu esse utilizati per cuntinuà l'attaccu.
Da u nome, u servore "HUB-FILER" pare un mira degnu, postu chì cù u tempu, i servitori di schedari, in regula, accumulanu un gran numaru di cartulare di rete è un accessu eccessivu à elli da troppu persone.
Navigazione cù Windows Explorer ci permette di detectà a presenza di un cartulare spartutu apertu, ma u nostru contu attuale ùn pò micca accede à ellu (probabilmente avemu solu i diritti di lista).
Passu 3: Amparate l'ACL
Avà, nantu à u nostru host HUB-FILER è sparte di destinazione, pudemu eseguisce un script PowerShell per uttene l'ACL. Pudemu fà questu da a macchina lucale, postu chì avemu digià diritti di amministratore locale:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –autoRisultato di l'esecuzione:
Da quì vedemu chì u gruppu di l'Utenti di u duminiu hà accessu solu à u listinu, ma u gruppu Helpdesk hà ancu i diritti di cambià.
Passu 4: Identificazione di u contu
Corsa , pudemu avè tutti i membri di stu gruppu:
Get-ADGroupMember -identity Helpdesk
In questa lista vedemu un contu di l'urdinatore chì avemu digià identificatu è avemu digià accessu:
Passu 5: Aduprate PSExec per eseguisce cum'è un contu urdinatore
da Microsoft Sysinternals permette di eseguisce cumandamenti in u cuntestu di u contu di u sistema SYSTEM@HUB-SHAREPOINT, chì sapemu chì hè un membru di u gruppu di destinazione Helpdesk. Vale à dì, avemu solu fà:
PsExec.exe -s -i cmd.exeEbbè, tandu avete un accessu cumpletu à u cartulare di destinazione HUB-FILERshareHR, postu chì vi sò travagliatu in u cuntestu di u contu urdinatore HUB-SHAREPOINT. È cù questu accessu, i dati ponu esse copiati in un dispositivu di almacenamento portable o altrimenti recuperati è trasmessi nantu à a reta.
Passu 6: Detecting stu attaccu
Questa vulnerabilità di sintonizazione di u privilegiu di u cuntu particulari (conti di l'urdinatore chì accede à e parte di a rete invece di cunti d'utilizatori o cunti di serviziu) pò esse scupertu. Tuttavia, senza l'arnesi dritta, questu hè assai difficiule di fà.
Per detectà è prevene sta categuria di attacchi, pudemu usà per identificà gruppi cù cunti di computer in elli, è poi nigà l'accessu à elli. va più luntanu è vi permette di creà una notificazione specificamente per stu tipu di scenariu.
A screenshot sottu mostra una notificazione persunalizata chì spararà ogni volta chì un contu di l'urdinatore accede à e dati in un servitore monitoratu.
I prossimi passi cù PowerShell
Vulete sapè di più ? Aduprà u codice sbloccare "blog" per un accessu liberu à u pienu .
Source: www.habr.com