Auditoría básica de ciberseguridad a un dominio de Microsoft

Grundlegende Cybersicherheitsprüfung einer Microsoft-Domäne



Das Active Directory (Active Das Verzeichnis) ist für viele eine wichtige Komponente in der Infrastruktur Organisationen, die zur Verwaltung von Ressourcen und Benutzern in Umgebungen verwendet werden Windows. Das Active Directory-Audit ist unerlässlich, um sicherzustellen, dass Netzwerksicherheit und Datenintegrität. Als nächstes beginnend mit Wir gehen davon aus, dass ein Verstoß gegen einen Domänenbenutzer vorliegt, wir werden dies untersuchen Die wichtigsten Angriffsvektoren, die wir identifizieren müssen:


1. Privilegieneskalation Lokal

Aber nicht immer notwendig ist, wird dringend empfohlen, mit den Berechtigungen zu beginnen Verwaltung auf dem angreifenden Rechner. Auf diese Weise der Einsatz von Werkzeugen Es wird viel komfortabler sein. Dazu können Sie Tools wie PowerUp verwenden, WinPeas oder SeatBelt unter anderem, um Pfade zu identifizieren, die eine ermöglichen Eskalation an den lokalen Administrator.

2. Passwortrichtlinien

Eine Politik Ein schwaches Passwort kann für die Durchführung von Passwordspraying-Angriffen nützlich sein (Dies muss sorgfältig erfolgen, um Konten nicht zu sperren) oder für die anschließendes Knacken identifizierter Hashes. Darüber hinaus, wenn es keine gibt Sperrpolitik nach gescheiterten Versuchen wäre es möglich, brutale Gewalt anzuwenden gegen die gesamte Domain, ohne befürchten zu müssen, dass Benutzerkonten blockiert werden.

3. Identifizieren Sie Geheimnisse in geteilte Ordner.

Einmal Wenn Sie einen Domänenbenutzer haben, wird empfohlen, die Ordner aufzulisten freigegebene Dateien, auf die Sie Zugriff haben (z. B. mit smbclient). In Gelegentlich können Dokumente identifiziert werden, die irgendeine Art von enthalten Berechtigungsnachweis, der gültig sein oder als Ausgangspunkt dienen kann andere Passwörter erraten.

4. Identifizierung von Systemen veraltete Operationen

Muss sein Stellen Sie sicher, dass keine nicht mehr unterstützten Betriebssysteme verwendet werden und/oder veraltet. Diese Art von Ausrüstung kann sehr nützlich sein, da sie es ist mit hoher Wahrscheinlichkeit über ausnutzbare Schwachstellen mit Exploits verfügen öffentlich. Auch wenn es sich nicht um relevante Ziele handelt, kann auf sie zugegriffen werden Es könnte interessant sein, die von ihnen gespeicherten Anmeldeinformationen zu erhalten. Ist sehr Es ist wichtig, den IT-Manager darüber zu informieren, dass Sie Exploits verwenden werden. für den Fall, dass diese zu einem Leistungsabfall des Unternehmens führen könnten.

5. Kontoidentifikation privilegiert

Ist sehr Es ist interessant, einen ersten Aufzählungsprozess durchzuführen, bei dem Identifizieren Sie die Zielkonten, auf denen der gesamte Betrag gebunden werden kann Domain. In dieser Aufzählungsphase werden nicht nur die Konten von Domänenadministrator, aber es ist auch wichtig, Konten mit Berechtigungen zu identifizieren spezielle, die die Durchführung von Bewegungen in der Domäne ermöglichen. In Punkten Als nächstes werden wir sehen, warum das wichtig ist.

6. Identifizierung und Missbrauch Konten mit Eingeschränkter Delegation

Irgendwann Zuvor wurde darauf hingewiesen, dass es notwendig sei, Konten mit Berechtigungen zu identifizieren hoch, da es sich um einen bestimmten Typ eines privilegierten Kontos handelt. Diese können haben ihnen die Befugnis übertragen, sich als jeder Benutzer der Domain auszugeben für eine Reihe spezifischer Dienstleistungen. Dank dessen, wenn es erreicht wird Wenn Sie ein Konto mit eingeschränkter Delegation kompromittieren, besteht die Möglichkeit, sich auszugeben für jeden Benutzer für Windows-Dienste wie Host, RPCSS, http, wsman, cifs, ldap, krbtgt oder winrm.

8. Identifizierung und Missbrauch vonUneingeschränkten Delegation

Das ist etwas anderes Art eines hochverzinslichen privilegierten Kontos. Diese Konten sind autorisiert um TGT (Ticket Granting Ticket) von Kerberos von zu empfangen und zu speichern jedes Konto. Deshalb wäre es durch den Zugriff darauf möglich, die zu extrahieren darin gespeicherte Tickets. Andererseits ist es auch möglich erzwungene Authentifizierungsangriffe auf diesem Computer, also Erzwingen jede Domino-Maschine zur Authentifizierung gegenüber der uneingeschränkten Maschine beschäftigt. Auf diese Weise kann das neue Opfer (z. B. der Domänencontroller) Beispiel) würde eine Kopie Ihres TGT an die unbeschränkte Maschine senden Mögliches Abfangen.

9. Identifizieren und missbrauchen DCSync-Berechtigungen

Wir machen weiter mit interessante privilegierte Konten. In diesem Fall ist eine Identifizierung erforderlich Konten mit DCSync-Berechtigungen, d. h. Konten mit DS-Replication-Get-Changes-All-Berechtigungen und DS-Replication-Get-Changes. Wenn es uns gelingt, einen Ausweis zu kompromittieren Mit diesen Berechtigungen können wir einen DCSync-Angriff durchführen, oder was auch immer Stellen Sie sich vor, wir wären ein Domänencontroller, der seine Daten synchronisieren möchte Datenbank (ntds.dit) mit der des echten Domänencontrollers. Hier entlang Alle Domänen-Hashes würden abgerufen, einschließlich der des Domänenadministrators.

10. Ressourcenbasiert identifizieren und missbrauchen Eingeschränkte Delegation

ja wie Angreifer können ein Konto mit „GenericWrite“-Berechtigungen identifizieren oder „GenericAll“ über „ActiveDirectoryRights“ bedeutet, dass dieses Konto hat die Möglichkeit, jedem Benutzer eingeschränkte Delegationsberechtigungen zu erteilen Domänenkonto. Das heißt, wenn wir dieses Konto kompromittieren, Wir können angeben, dass jedes Konto in der Domain TGSs (Ticket) anfordern kann Garantieservice) für Dienste auf jedem Computer in der Domäne, einschließlich unseres Hauptziels: dem Domänencontroller.

11. Identifizieren und missbrauchen Anfällige Zertifikatvorlagen

Diese Art von Der Angriff basiert auf der Verwendung von Tools wie certify oder certipy um anfällige Zertifikatvorlagen in der CA zu identifizieren (certificate Unternehmensautorität. Es gibt eine Reihe anfälliger Szenarien möglich, die es einem Angreifer ermöglichen, im Namen anderer Zertifikate anzufordern Benutzer, zum Beispiel von einem Domänenadministrator oder von einem beliebigen Konto privilegiert.

12. Dienste identifizieren Verletzlich

Es ist möglich, dass In den aktiven Verzeichnissen gibt es Maschinen mit anderen Diensten als diejenigen des bereitgestellten Active Directory (obwohl dies keine gute Praxis ist), zum Beispiel Jenkins oder SQL-Dienste. Es ist wichtig, diese Dienste zu identifizieren um zu prüfen, ob sie verwundbar sind, da sie in vielen Fällen dienen können als Zugangspunkt zu der Maschine, auf der sie laufen. Die Situation Ideal für einen Angreifer wäre es, einen Dienst zu identifizieren, den er ausnutzen kann, und zwar Dies wurde mit einem lokalen Administratorbenutzer des ausgeführt Maschine. Auf diese Weise wird eine Remote-Codeausführung durch erreicht Bei einem ausnutzbaren Dienst wäre es möglich, die gesamte Maschine zu kompromittieren.

13. Kerberoasting

Kerberoasting ist ein Angriff, der auf der Ausnutzung vorhandener Dienstkonten basiert zugehörige Service Principal Names (SPNs). Diese SPNs sind Datensätze, die Verknüpfen Sie einen bestimmten Dienst oder eine bestimmte Anwendung mit einem Dienstkonto auf dem Active Directory.

Das Ziel von Kerberoasting bedeutet, Tickets von diesen Dienstkonten anzufordern, um Entschlüsseln Sie sie später offline und erhalten Sie die ursprünglichen Passwörter. Das Dies ist möglich, da ein Teil des angeforderten Tickets mit einem Schlüssel verschlüsselt ist abgeleitet vom ursprünglichen Passwort.

14. Extraktion von Anmeldeinformationen

Einmal Wenn eine Maschine kompromittiert wurde, müssen Sie sie wie folgt extrahieren: dasselbe wie jedes gespeicherte Passwort. Hierfür können Werkzeuge verwendet werden. wie Mimikatz. Diese Anmeldeinformationen können bei Umzügen hilfreich sein Laterale in der gesamten Domäne und kompromittieren die Computer, auf denen sich Benutzer befinden Bei den erfassten Daten handelt es sich um lokale Administratoren.

Abschluss

Wir haben gerade ein paar davon gesehen Die während einer Prüfung am häufigsten verwendeten Techniken werden von Angreifern jedoch entdeckt Jeden Tag neue Techniken, jede innovativer. Aus diesem Grund laden wir Sie ein zu erkunden und Ihre eigenen Wege zu Controllern zu entdecken Domain.


Ignacio Sánchez, Cybersicherheitsanalyst bei Zerolynx.



Zurück zum Blog

Hinterlasse einen Kommentar

Bitte beachten Sie, dass Kommentare vor der Veröffentlichung genehmigt werden müssen.