Privileg Eskalatioun ass d'Benotzung vun den aktuelle Kontrechter vun engem Ugräifer fir zousätzlech, normalerweis méi héich, Zougang zum System ze kréien. Iwwerdeems Privileg Eskalatioun kann d'Resultat vun Null-Dag Exploit ginn, Meeschtesch Hacker eng cibléiert Attack lancéiert, oder clever verkleeden Malware, et geschitt meeschtens wéinst Computer oder Kont falsch Configuratioun. Entwéckelen d'Attack weider, Ugräifer ausnotzen eng Rei vun eenzelne Schwachstelle, déi zesummen zu engem katastrophal Datelek Féierung kann.
Firwat sollten d'Benotzer keng lokal Administrateurrechter hunn?
Wann Dir e Sécherheetsprofesser sidd, kann et evident schéngen datt d'Benotzer keng lokal Administrateurrechter sollten hunn, well dëst:
- Maacht hir Konten méi vulnérabel fir verschidden Attacken
- Mécht dës selwecht Attacke vill méi sérieux
Leider ass dëst fir vill Organisatiounen nach ëmmer e ganz kontroversen Thema an heiansdo begleet vu heftegen Diskussiounen (kuckt z.B. ). Ouni an d'Detailer vun dëser Diskussioun ze goen, gleewe mir datt den Ugräifer lokal Administratorrechter op de System ënner Enquête gewonnen huet, entweder duerch en Ausbeutung oder well d'Maschinnen net richteg geséchert waren.
Schrëtt 1: DNS Numm Resolutioun ëmgedréint mat PowerShell
Par défaut ass PowerShell op ville lokalen Aarbechtsstatiounen an op de meeschte Windows Serveren installéiert. A wann et net ouni Iwwerdreiung ass datt et als onheemlech nëtzlech Automatisatiouns- a Kontrollinstrument ugesi gëtt, ass et gläich fäeg an e bal onsichtbar ze ginn. (en Hacking Programm dee keng Spuere vun engem Attack hannerloosst).
An eisem Fall fänkt den Ugräifer un Netzwierkreconnaissance mat engem PowerShell Skript aus, sequentiell duerch den IP Adressraum vum Netz ze iteréieren, probéiert ze bestëmmen ob eng gegebene IP op e Host opléist, a wa jo, wat den Netznumm vun deem Host ass.
Et gi vill Weeër fir dës Aufgab z'erreechen, awer mam cmdlet ADComputer ass eng zouverlässeg Optioun well et e wierklech räiche Satz vun Daten iwwer all Node gëtt:
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}Wann d'Geschwindegkeet op grousse Netzwierker en Thema ass, kann e Reverse DNS System Uruff benotzt ginn:
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
Dës Method fir Hosten op engem Netzwierk z'enumeréieren ass ganz populär well déi meescht Netzwierker keen Nullvertrauenssécherheetsmodell benotzen an intern DNS Ufroe fir verdächteg Aktivitéitsausbréch net iwwerwaachen.
Schrëtt 2: Wielt en Zil
D'Ennresultat vun dësem Schrëtt ass eng Lëscht vu Server- a Workstation-Hostnamen ze kréien, déi kënne benotzt ginn fir den Attack weiderzemaachen.
Baséierend op säin Numm schéngt den 'HUB-FILER' Server wéi e wäertvollen Zil well ... Mat der Zäit tendéieren d'Dateiserver eng grouss Unzuel vun Netzwierkdateien an exzessive Zougang zu hinnen duerch ze vill Leit.
Surfen mat Windows Explorer erlaabt eis ze bestëmmen datt et en oppene gemeinsamen Dossier gëtt, awer eisen aktuelle Kont kann et net zougräifen (mir hu wahrscheinlech nëmmen Oplëschtungsrechter).
Schrëtt 3: Léiert den ACL
Elo op eisem HUB-FILER Host an Zildeele kënne mir de PowerShell Skript lafen fir den ACL ze kréien. Mir kënnen dat vun der lokaler Maschinn maachen, well mir scho lokal Administrateur Rechter hunn:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –autoAusféierung Resultat:
Vun et gesi mir datt d'Domain Benotzer Grupp nëmmen Zougang zu der Oplëschtung huet, awer d'Helpdesk Grupp huet och Redaktiounsrechter.
Schrëtt 4: Kont Identifikatioun
Lafen , kënne mir all Member vun dëser Grupp kréien:
Get-ADGroupMember -identity Helpdesk
An dëser Lëscht gesi mir de Computerkonto dee mir scho identifizéiert hunn a scho zougänglech sinn:
Schrëtt 5: Benotzt PSExec fir ënner engem Computerkonto ze schaffen
vu Microsoft Sysinternals erlaabt Iech Kommandoen am Kontext vum SYSTEM@HUB-SHAREPOINT Systemkonto auszeféieren, dee mir wëssen, ass Member vun der Helpdesk Zilgrupp. Dat ass, mir musse just maachen:
PsExec.exe -s -i cmd.exeGutt, dann hutt Dir voll Zougang zum Zil Dossier HUB-FILERshareHR, well Dir schafft am Kontext vum HUB-SHAREPOINT Computer Kont. A mat dësem Zougang kënnen d'Donnéeën op e portable Späicherapparat kopéiert ginn oder soss erëmgewielt an iwwer d'Netz transferéiert ginn.
Schrëtt 6: Dësen Attack z'entdecken
Dës speziell Kont Permissiounen Konfiguratioun Schwachstelle (Computer Konten Zougang Reseau deelt amplaz Benotzer Konten oder Service Konte) kann entdeckt ginn. Wéi och ëmmer, ouni déi richteg Tools ass dëst ganz schwéier ze maachen.
Fir dës Kategorie vun Attacken z'entdecken an ze verhënneren, kënne mir benotzen fir Gruppe mat Computerkonten an hinnen z'identifizéieren, an dann Zougang zu hinnen ze refuséieren. geet weider an erlaabt Iech eng Notifikatioun speziell fir dës Zort Szenario ze schafen.
De Screenshot hei ënnen weist eng personaliséiert Notifikatioun déi ausgeléist gëtt wann e Computerkonto Zougang zu Daten um iwwerwaachte Server kritt.
Nächst Schrëtt mat PowerShell
Wëllt Dir méi wëssen? Benotzt den Spärcode "Blog" fir gratis Zougang zum vollen .
Source: will.com