Dwysau braint yw'r defnydd gan ymosodwr o hawliau cyfredol cyfrif i gael mynediad ychwanegol, fel arfer lefel uwch, i'r system. Er y gall dwysáu braint fod yn ganlyniad i ymelwa ar wendidau dim diwrnod, neu waith hacwyr o’r radd flaenaf yn cynnal ymosodiad wedi’i dargedu, neu faleiswedd sydd wedi’i guddio’n dda, mae hyn yn fwyaf aml oherwydd camgyflunio’r cyfrifiadur neu’r cyfrif. Wrth ddatblygu'r ymosodiad ymhellach, mae ymosodwyr yn defnyddio nifer o wendidau unigol, a all gyda'i gilydd arwain at ollyngiad data trychinebus.
Pam na ddylai defnyddwyr gael hawliau gweinyddwr lleol?
Os ydych chi'n weithiwr diogelwch proffesiynol, fe allai ymddangos yn amlwg na ddylai defnyddwyr gael hawliau gweinyddwr lleol, fel hyn:
- Yn gwneud eu cyfrifon yn fwy agored i ymosodiadau amrywiol
- Yn gwneud yr un ymosodiadau hynny'n llawer mwy difrifol
Yn anffodus, i lawer o sefydliadau mae hwn yn dal i fod yn fater dadleuol iawn ac weithiau bydd trafodaethau brwd yn cyd-fynd ag ef (gweler, er enghraifft,
Cam 1 Gwrthdroi Penderfyniad DNS gyda PowerShell
Yn ddiofyn, mae PowerShell wedi'i osod ar lawer o weithfannau lleol ac ar y mwyafrif o weinyddion Windows. Ac er nad yw'n or-ddweud ei fod yn cael ei ystyried yn offeryn awtomeiddio a rheoli hynod ddefnyddiol, mae'r un mor gallu trawsnewid ei hun yn anweledig bron.
Yn ein hachos ni, mae'r ymosodwr yn dechrau perfformio rhagchwilio rhwydwaith gan ddefnyddio sgript PowerShell, gan ailadrodd yn olynol dros ofod cyfeiriad IP y rhwydwaith, gan geisio penderfynu a yw IP penodol yn penderfynu i westeiwr, ac os felly, beth yw enw rhwydwaith y gwesteiwr hwn.
Mae yna lawer o ffyrdd i gyflawni'r dasg hon, ond gan ddefnyddio'r cmdlet
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}
Os yw cyflymder ar rwydweithiau mawr yn broblem, yna gellir defnyddio galwad yn ôl DNS:
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
Mae'r dull hwn o restru gwesteiwyr ar rwydwaith yn boblogaidd iawn, gan nad yw'r rhan fwyaf o rwydweithiau'n defnyddio model diogelwch dim-ymddiriedaeth ac nid ydynt yn monitro ymholiadau DNS mewnol am gyfnodau amheus o weithgarwch.
Cam 2: Dewiswch darged
Canlyniad terfynol y cam hwn yw cael rhestr o enwau gwesteiwr gweinyddwyr a gweithfannau y gellir eu defnyddio i barhau â'r ymosodiad.
O'r enw, mae'r gweinydd 'HUB-FILER' yn ymddangos fel targed teilwng, ers hynny dros amser, mae gweinyddwyr ffeiliau, fel rheol, yn cronni nifer fawr o ffolderi rhwydwaith a mynediad gormodol iddynt gan ormod o bobl.
Mae pori gyda Windows Explorer yn ein galluogi i ganfod presenoldeb ffolder a rennir agored, ond ni all ein cyfrif cyfredol gael mynediad ato (mae'n debyg mai dim ond hawliau rhestru sydd gennym).
Cam 3: Dysgu ACLs
Nawr, ar ein gwesteiwr HUB-FILER a'n cyfran darged, gallwn redeg sgript PowerShell i gael yr ACL. Gallwn wneud hyn o'r peiriant lleol, gan fod gennym eisoes hawliau gweinyddwr lleol:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –auto
Canlyniad gweithredu:
Oddi yno gwelwn fod gan y grŵp Defnyddwyr Parth fynediad i'r rhestriad yn unig, ond mae gan y grŵp Desg Gymorth hefyd yr hawl i newid.
Cam 4: Adnabod Cyfrif
Rhedeg
Get-ADGroupMember -identity Helpdesk
Yn y rhestr hon gwelwn gyfrif cyfrifiadurol yr ydym eisoes wedi'i nodi ac wedi cael mynediad iddo eisoes:
Cam 5: Defnyddiwch PSExec i redeg fel cyfrif cyfrifiadur
PsExec.exe -s -i cmd.exe
Wel, yna mae gennych fynediad llawn i'r ffolder targed HUB-FILERshareHR, gan eich bod yn gweithio yng nghyd-destun y cyfrif cyfrifiadurol HUB-SHAREPOINT. A chyda'r mynediad hwn, gellir copïo'r data i ddyfais storio gludadwy neu fel arall ei adfer a'i drosglwyddo dros y rhwydwaith.
Cam 6: Canfod yr ymosodiad hwn
Gellir darganfod y bregusrwydd tiwnio braint cyfrif arbennig hwn (cyfrifon cyfrifiadurol sy'n cyrchu cyfranddaliadau rhwydwaith yn lle cyfrifon defnyddwyr neu gyfrifon gwasanaeth). Fodd bynnag, heb yr offer cywir, mae hyn yn anodd iawn i'w wneud.
Er mwyn canfod ac atal y categori hwn o ymosodiadau, gallwn ei ddefnyddio
Mae'r sgrinlun isod yn dangos hysbysiad arferol a fydd yn tanio bob tro y bydd cyfrif cyfrifiadur yn cyrchu data ar weinydd sy'n cael ei fonitro.
Y camau nesaf gyda PowerShell
Eisiau gwybod mwy? Defnyddiwch y cod datglo "blog" ar gyfer mynediad am ddim i'r llawn
Ffynhonnell: hab.com