Pribilegioen igoera erasotzaile batek kontu baten egungo eskubideak erabiltzea da, normalean sistemarako sarbide maila handiagoa lortzeko. Pribilegioen igoera zero-eguneko ahuleziak aprobetxatzearen ondorioa izan daitekeen arren, edo eraso zuzendutako lehen mailako hackerren lana edo ondo mozorrotutako malwarearen ondorioa izan daitekeen arren, gehienetan ordenagailuaren edo kontuaren konfigurazio okerraren ondorioz gertatzen da. Erasoa gehiago garatuz, erasotzaileek ahultasun indibidual batzuk erabiltzen dituzte, eta horiek elkarrekin datu-ihes katastrofiko bat ekar dezakete.
Zergatik ez dute erabiltzaileek tokiko administratzaile eskubiderik izan behar?
Segurtasun profesionala bazara, begi-bistakoa dirudi erabiltzaileek ez luketela tokiko administratzaile eskubiderik izan behar, hau da:
- Haien kontuak ahulago bihurtzen ditu hainbat erasoren aurrean
- Askoz larriagoak egiten ditu eraso horiek
Zoritxarrez, erakunde askorentzat oso gai polemikoa da oraindik eta batzuetan eztabaida sutsuak izaten ditu (ikus, adibidez, ). Eztabaida honen xehetasunetan sartu gabe, uste dugu erasotzaileak tokiko administratzaile-eskubideak lortu zituela ikertzen ari den sisteman, esplotazio baten bidez edo makinak behar bezala babestuta ez zeudelako.
1. urratsa Alderantzikatu DNS ebazpena PowerShell-ekin
Lehenespenez, PowerShell tokiko lan-estazio askotan eta Windows zerbitzari gehienetan instalatuta dago. Eta gehiegikeriarik gabe automatizazio eta kontrol tresna ikaragarri baliagarritzat hartzen den arren, ia ikusezin bihurtzeko gai da. (erasoaren arrastorik uzten ez duen hacking programa).
Gure kasuan, erasotzailea sarearen ezagutza egiten hasten da PowerShell script bat erabiliz, sareko IP helbide-espazioan sekuentzialki errepikatuz, IP jakin bat ostalari bati ebazten ala ez zehazten saiatuz, eta hala bada, zein den ostalari honen sare-izena.
Modu asko daude zeregin hau betetzeko, baina cmdlet-a erabiliz ADComputer aukera sendoa da, nodo bakoitzari buruzko datu multzo oso aberatsa itzultzen duelako:
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq β10.10.10.10β}Sare handietako abiadura arazoa bada, DNS dei-itzulera erabil daiteke:
[System.Net.Dns]::GetHostEntry(β10.10.10.10β).HostName
Ostalariak sare batean zerrendatzeko metodo hau oso ezaguna da, sare gehienek ez baitute zero konfiantzazko segurtasun-eredurik erabiltzen eta ez dituzte barneko DNS kontsulten jarraipena egiten jarduera-leherketa susmagarrien bila.
2. urratsa: aukeratu helburu bat
Urrats honen azken emaitza zerbitzari eta lan-estazioen ostalari-izenen zerrenda lortzea da, erasoarekin jarraitzeko erabil daitezkeen.
Izenetik, 'HUB-FILER' zerbitzariak helburu merezi duela dirudi, geroztik denboraren poderioz, fitxategi-zerbitzariek, oro har, sareko karpeta kopuru handia pilatzen dute eta jende gehiegik haietara gehiegizko sarbidea izaten dute.
Windows Explorer-ekin arakatzeak irekitako karpeta partekatu baten presentzia detektatzeko aukera ematen digu, baina gure kontu korronte ezin da bertara sartu (seguruenik zerrendatzeko eskubideak baino ez ditugu).
3. urratsa: ikasi ACLak
Orain, gure HUB-FILER ostalari eta helburuko partaidetzan, PowerShell script bat exekutatu dezakegu ACL lortzeko. Hau tokiko makinatik egin dezakegu, dagoeneko tokiko administratzaile eskubideak baditugu:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags βautoExekuzioaren emaitza:
Hortik ikusten dugu Domeinu Erabiltzaileen taldeak zerrendarako sarbidea duela soilik, baina Helpdesk taldeak ere aldatzeko eskubideak ditu.
4. urratsa: Kontuaren identifikazioa
Korrika , talde honetako kide guztiak lor ditzakegu:
Get-ADGroupMember -identity Helpdesk
Zerrenda honetan dagoeneko identifikatu dugun eta dagoeneko atzitu dugun ordenagailu-kontu bat ikusten dugu:
5. urratsa: Erabili PSExec ordenagailuko kontu gisa exekutatzeko
Microsoft Sysinternals-ek komandoak exekutatzeko aukera ematen du SYSTEM@HUB-SHAREPOINT sistemako kontuaren testuinguruan, zeina Helpdesk xede-taldeko kide dela dakiguna. Hau da, besterik ez dugu egin behar:
PsExec.exe -s -i cmd.exeBeno, orduan HUB-FILERshareHR helburuko karpetarako sarbide osoa duzu, HUB-SHAREPOINT ordenagailu kontuaren testuinguruan lanean ari zarelako. Eta sarbide honekin, datuak biltegiratze gailu eramangarri batera kopiatu edo bestela berreskuratu eta sarean transmititu daitezke.
6. urratsa: Eraso hau detektatzea
Kontuaren pribilegioak doitzeko ahultasun jakin hau (sareko parteketan sartzen diren ordenagailu-kontuak erabiltzaile-kontu edo zerbitzu-kontuetan beharrean) aurki daiteke. Hala ere, tresna egokirik gabe, hori egitea oso zaila da.
Eraso kategoria hau antzemateko eta prebenitzeko, erabil dezakegu ordenagailu-kontuak dituzten taldeak identifikatzea, eta gero haietarako sarbidea ukatzeko. harago doa eta jakinarazpen bat sortzeko aukera ematen du mota honetako eszenatokietarako bereziki.
Beheko pantaila-argazkiak jakinarazpen pertsonalizatu bat erakusten du, ordenagailu-kontu bat kontrolatutako zerbitzari batean datuetara sartzen den bakoitzean.
Hurrengo urratsak PowerShell-ekin
Gehiago jakin nahi? Erabili "blog" desblokeatzeko kodea osoko sarbidea izateko .
Iturria: www.habr.com