A escalação de privilégio é o uso por um invasor dos direitos atuais de uma conta para obter acesso adicional, geralmente um nível mais alto, ao sistema. Embora a escalação de privilégios possa ser o resultado da exploração de vulnerabilidades de dia zero ou do trabalho de hackers de primeira classe conduzindo um ataque direcionado ou malware bem disfarçado, na maioria das vezes é devido à configuração incorreta do computador ou da conta. Desenvolvendo o ataque ainda mais, os invasores usam várias vulnerabilidades individuais, que juntas podem levar a um vazamento de dados catastrófico.
Por que os usuários não devem ter direitos de administrador local?
Se você for um profissional de segurança, pode parecer óbvio que os usuários não devem ter direitos de administrador local, pois:
- Torna suas contas mais vulneráveis a vários ataques
- Torna esses mesmos ataques muito mais graves
Infelizmente, para muitas organizações este ainda é um assunto muito controverso e às vezes acompanhado de discussões acaloradas (ver, por exemplo,
Etapa 1Resolução de DNS reversa com PowerShell
Por padrão, o PowerShell é instalado em muitas estações de trabalho locais e na maioria dos servidores Windows. E embora não seja sem exagero que é considerado uma ferramenta de automação e controle incrivelmente útil, é igualmente capaz de se transformar em um quase invisível
Em nosso caso, o invasor começa a realizar o reconhecimento de rede usando um script do PowerShell, iterando sequencialmente no espaço de endereços IP da rede, tentando determinar se um determinado IP resolve para um host e, em caso afirmativo, qual é o nome de rede desse host.
Há muitas maneiras de realizar essa tarefa, mas usando o cmdlet
import-module activedirectory Get-ADComputer -property * -filter { ipv4address -eq ‘10.10.10.10’}
Se a velocidade em grandes redes for um problema, um retorno de chamada DNS pode ser usado:
[System.Net.Dns]::GetHostEntry(‘10.10.10.10’).HostName
Esse método de listar hosts em uma rede é muito popular, já que a maioria das redes não usa um modelo de segurança de confiança zero e não monitora consultas DNS internas em busca de rajadas suspeitas de atividade.
Passo 2: Escolha um alvo
O resultado final desta etapa é obter uma lista de nomes de host de servidores e estações de trabalho que podem ser usados para continuar o ataque.
Pelo nome, o servidor 'HUB-FILER' parece um alvo digno, já que com o tempo, os servidores de arquivos, via de regra, acumulam um grande número de pastas de rede e o acesso excessivo a elas por muitas pessoas.
A navegação com o Windows Explorer nos permite detectar a presença de uma pasta compartilhada aberta, mas nossa conta atual não pode acessá-la (provavelmente só temos direitos de listagem).
Passo 3: Aprenda ACLs
Agora, em nosso host HUB-FILER e compartilhamento de destino, podemos executar um script do PowerShell para obter a ACL. Podemos fazer isso na máquina local, pois já temos direitos de administrador local:
(get-acl hub-filershare).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags –auto
Resultado da execução:
A partir dele vemos que o grupo Usuários do Domínio tem acesso apenas à listagem, mas o grupo Helpdesk também tem direitos de alteração.
Etapa 4: identificação da conta
Correndo
Get-ADGroupMember -identity Helpdesk
Nesta lista vemos uma conta de computador que já identificamos e já acessamos:
Etapa 5: usar o PSExec para executar como uma conta de computador
PsExec.exe -s -i cmd.exe
Bem, então você tem acesso total à pasta de destino HUB-FILERshareHR, pois está trabalhando no contexto da conta de computador HUB-SHAREPOINT. E com esse acesso, os dados podem ser copiados para um dispositivo de armazenamento portátil ou recuperados e transmitidos pela rede.
Passo 6: Detectando este ataque
Essa vulnerabilidade específica de ajuste de privilégio de conta (contas de computador acessando compartilhamentos de rede em vez de contas de usuário ou contas de serviço) pode ser descoberta. No entanto, sem as ferramentas certas, isso é muito difícil de fazer.
Para detectar e prevenir esta categoria de ataques, podemos usar
A captura de tela abaixo mostra uma notificação personalizada que será disparada sempre que uma conta de computador acessar dados em um servidor monitorado.
Próximas etapas com o PowerShell
Quer saber mais? Use o código de desbloqueio "blog" para acesso gratuito ao conteúdo completo
Fonte: habr.com