Etuoikeuksien eskalointi tarkoittaa sitä, että hyökkääjä käyttää tilin nykyisiä oikeuksia saadakseen lisää, yleensä korkeamman tason pääsyn järjestelmään. Vaikka oikeuksien eskaloituminen voi johtua nollapäivän haavoittuvuuksien hyödyntämisestä tai kohdennettuja hyökkäyksiä suorittavien ensiluokkaisten hakkereiden työstä tai hyvin naamioituneista haittaohjelmista, se johtuu useimmiten tietokoneen tai tilin virheellisestä määrityksestä. Hyökkäystä edelleen kehittäessään hyökkääjät käyttävät useita yksittäisiä haavoittuvuuksia, jotka yhdessä voivat johtaa katastrofaaliseen tietovuotoon.
Miksi käyttäjillä ei saisi olla paikallisen järjestelmänvalvojan oikeuksia?
Jos olet tietoturva-ammattilainen, saattaa tuntua itsestään selvältä, että käyttäjillä ei pitäisi olla paikallisia järjestelmänvalvojan oikeuksia, koska tämä:
- Tekee heidän tilinsä alttiimpia erilaisille hyökkäyksille
- Tekee samoista hyökkäyksistä paljon ankarampia
Valitettavasti monille organisaatioille tämä on edelleen erittäin kiistanalainen kysymys, ja siihen liittyy joskus kiihkeitä keskusteluja (katso esim.
Vaihe 1 Käänteinen DNS-resoluutio PowerShellillä
Oletusarvoisesti PowerShell on asennettu moniin paikallisiin työasemiin ja useimpiin Windows-palvelimiin. Ja vaikka sitä ei ole liioittelematta pidetty uskomattoman hyödyllisenä automaatio- ja ohjaustyökaluna, se pystyy yhtä lailla muuttamaan itsensä lähes näkymättömäksi
Meidän tapauksessamme hyökkääjä alkaa suorittaa verkkotutkintaa PowerShell-komentosarjan avulla, iteroiden peräkkäin verkon IP-osoiteavaruudessa ja yrittää selvittää, ratkaiseeko tietty IP isännälle, ja jos on, mikä on tämän isännän verkkonimi.
On monia tapoja suorittaa tämä tehtävä, mutta käyttämällä cmdlet-komentoa
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}
Jos nopeus suurissa verkoissa on ongelma, DNS-takaisinsoittoa voidaan käyttää:
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
Tämä isäntien luettelointitapa verkossa on erittäin suosittu, koska useimmat verkot eivät käytä nollaluottamustietoturvamallia eivätkä valvo sisäisiä DNS-kyselyitä epäilyttävien toimintojen varalta.
Vaihe 2: Valitse kohde
Tämän vaiheen lopputuloksena on luettelo palvelimien ja työasemien isäntänimistä, joita voidaan käyttää hyökkäyksen jatkamiseen.
Nimen perusteella 'HUB-FILER'-palvelin vaikuttaa arvokkaalta kohteelta Ajan myötä tiedostopalvelimet keräävät yleensä suuren määrän verkkokansioita ja liian monien ihmisten pääsyä niihin.
Selaamalla Windowsin Resurssienhallinnassa voimme havaita avoimen jaetun kansion olemassaolon, mutta nykyinen tilimme ei pääse siihen (todennäköisesti meillä on vain listausoikeudet).
Vaihe 3: Opi ACL-luettelot
Nyt voimme HUB-FILER-isännässämme ja kohdeosuudessamme suorittaa PowerShell-komentosarjan saadaksemme ACL:n. Voimme tehdä tämän paikalliselta koneelta, koska meillä on jo paikalliset järjestelmänvalvojan oikeudet:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –auto
Toteutuksen tulos:
Siitä näemme, että Domain Users -ryhmällä on pääsy vain listaukseen, mutta myös Helpdesk-ryhmällä on muuttooikeudet.
Vaihe 4: Tilin tunnistaminen
Juoksemalla
Get-ADGroupMember -identity Helpdesk
Tässä luettelossa näemme tietokonetilin, jonka olemme jo tunnistaneet ja joita olemme jo käyttäneet:
Vaihe 5: Käytä PSExeciä tietokoneen tilinä
PsExec.exe -s -i cmd.exe
No, sitten sinulla on täysi pääsy kohdekansioon HUB-FILERshareHR, koska työskentelet HUB-SHAREPOINT-tietokonetilin yhteydessä. Ja tällä pääsyllä tiedot voidaan kopioida kannettavalle tallennuslaitteelle tai muuten hakea ja lähettää verkon kautta.
Vaihe 6: Tämän hyökkäyksen havaitseminen
Tämä tietty tilin käyttöoikeuksien virityshaavoittuvuus (tietokonetilit, jotka käyttävät verkko-osuuksia käyttäjätilien tai palvelutilien sijaan) voidaan löytää. Ilman oikeita työkaluja tämä on kuitenkin erittäin vaikeaa.
Tämän luokan hyökkäysten havaitsemiseksi ja estämiseksi voimme käyttää
Alla oleva kuvakaappaus näyttää mukautetun ilmoituksen, joka käynnistyy aina, kun tietokonetili käyttää valvotun palvelimen tietoja.
Seuraavat vaiheet PowerShellin kanssa
Haluatko tietää lisää? Käytä "blogin" lukituksen avauskoodia saadaksesi ilmaisen pääsyn kaikkiin
Lähde: will.com