Privilegeeskalaasje is it brûken fan 'e aktuele akkountrjochten fan in oanfaller om ekstra, meastal hegere, tagongsnivo's ta it systeem te krijen. Wylst privileezje-eskalaasje it gefolch wêze kin fan eksploaten fan nul-dagen, masterhackers dy't in doelrjochte oanfal lansearje, of tûk ferklaaide malware, komt it meast foar fanwegen komputer of akkount miskonfiguraasje. Troch de oanfal fierder te ûntwikkeljen, eksploitearje oanfallers in oantal yndividuele kwetsberens, dy't tegearre kinne liede ta in katastrofysk gegevenslek.
Wêrom soene brûkers gjin lokale behearderrjochten hawwe?
As jo in befeiligingsprofesjonele binne, kin it fanselssprekkend lykje dat brûkers gjin lokale behearderrjochten moatte hawwe, om't dit:
- Makket har akkounts kwetsberer foar ferskate oanfallen
- Makket dizze deselde oanfallen folle serieuzer
Spitigernôch is dit foar in protte organisaasjes noch altyd in tige kontroversjele kwestje en wurdt soms begelaat troch fûle diskusjes (sjoch bgl.
Stap 1: DNS-nammeresolúsje omkeare mei PowerShell
Standert is PowerShell ynstalleare op in protte lokale wurkstasjons en op de measte Windows-tsjinners. En hoewol it net sûnder oerdriuwing wurdt beskôge as in ongelooflijk brûkber automatisearring- en kontrôleark, is it likegoed yn steat om te feroarjen yn in hast ûnsichtber
Yn ús gefal begjint de oanfaller netwurkferkenning út te fieren mei in PowerShell-skript, sequentially iterearjen troch de IP-adresromte fan it netwurk, besykje te bepalen oft in opjûne IP oplost nei in host, en as dat sa is, wat de netwurknamme fan dy host is.
D'r binne in protte manieren om dizze taak út te fieren, mar mei de cmdlet
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}
As snelheid op grutte netwurken in probleem is, kin in omkearde DNS-systeemoprop brûkt wurde:
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
Dizze metoade foar it opteljen fan hosts op in netwurk is heul populêr, om't de measte netwurken gjin befeiligingsmodel fan nul fertrouwen brûke en ynterne DNS-fragen net kontrolearje foar fertochte bursts fan aktiviteit.
Stap 2: Selektearje in doel
It einresultaat fan dizze stap is om in list mei server- en wurkstasjonhostnammen te krijen dy't brûkt wurde kinne om de oanfal troch te gean.
Op grûn fan syn namme liket de 'HUB-FILER'-tsjinner in weardich doel, om't ... Yn 'e rin fan' e tiid hawwe bestânservers de neiging om in grut oantal netwurkmappen te sammeljen en tefolle tagong ta har troch te folle minsken.
Blêdzje mei Windows Explorer lit ús bepale dat d'r in iepen dielde map is, mar ús hjoeddeistige akkount kin der net tagong krije (wy hawwe wierskynlik allinich listrjochten).
Stap 3: Learje de ACL
No op ús HUB-FILER-host en doeldiel kinne wy it PowerShell-skript útfiere om de ACL te krijen. Wy kinne dit dwaan fanôf de lokale masine, om't wy al lokale behearderrjochten hawwe:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –auto
Utfierresultaat:
Dêrút sjogge wy dat de groep Domain Users allinich tagong hat ta de fermelding, mar de Helpdesk-groep hat ek bewurkingsrjochten.
Stap 4: Account Identifikaasje
Te rinnen
Get-ADGroupMember -identity Helpdesk
Yn dizze list sjogge wy it kompjûteraccount dat wy al identifisearre hawwe en al tagong hawwe:
Stap 5: Brûk PSExec om te wurkjen ûnder in kompjûteraccount
PsExec.exe -s -i cmd.exe
No, dan hawwe jo folsleine tagong ta de doelmap HUB-FILERshareHR, om't jo wurkje yn 'e kontekst fan it HUB-SHAREPOINT-kompjûterakkount. En mei dizze tagong kinne gegevens kopiearre wurde nei in draachbere opslachapparaat of oars ophelle en oerdroegen wurde oer it netwurk.
Stap 6: Detecting dizze oanfal
Dizze bepaalde kwetsberens foar konfiguraasje fan tagongsrjochten foar akkounts (kompjûterakkounts dy't tagong krije ta netwurkdielen ynstee fan brûkersakkounts of tsjinstakkounts) kin ûntdutsen wurde. Sûnder de juste ark is dit lykwols heul lestich om te dwaan.
Om dizze kategory oanfallen te ûntdekken en te foarkommen, kinne wy brûke
De skermôfbylding hjirûnder lit in oanpaste notifikaasje sjen dy't sil wurde aktivearre as in kompjûteraccount tagong hat ta gegevens op 'e kontroleare tsjinner.
Folgjende stappen mei help fan PowerShell
Wolle jo mear witte? Brûk de ûntskoattelkoade "blog" foar fergese tagong ta it folsleine
Boarne: www.habr.com