Auditoría básica de ciberseguridad a un dominio de Microsoft

Microsoft domeinu baten zibersegurtasuneko oinarrizko auditoria



Active Directory (Aktiboa Directory) osagai kritikoa da askoren azpiegituran erakundeak, inguruneetako baliabideak eta erabiltzaileak kudeatzeko erabiltzen direnak Leihoak. Active Directory auditoria ezinbestekoa da ziurtatzeko sareko segurtasuna eta datuen osotasuna. Jarraian, hasita domeinu-erabiltzaile bat urratu dela hartutako konpromisoa aztertuko dugu identifikatu behar ditugun eraso-bektore nagusiak:


1. Pribilegioen igoera Tokikoa

Baina ez beti beharrezkoa da, oso gomendagarria da baimenekin hastea administrazioa erasotzeko makinan. Modu honetan tresnen erabilera Askoz erosoagoa izango da. Horretarako PowerUp bezalako tresnak erabil ditzakezu, WinPeas edo Segurtasun-gerrikoa besteak beste, aukera ematen duten bideak identifikatzeko. tokiko administratzailera igotzea.

2. Pasahitzen politikak

Politika bat pasahitz ahula baliagarria izan daiteke pasahitz-ihesketa erasoak egiteko (kontu handiz egin behar da kontuak ez blokeatzeko) edo identifikatutako hashen ondorengo pitzadurak. Gainera, ez badago huts egindako saiakeraren ondoren blokeatzeko politika, posible izango litzateke indar gordina egitea domeinu osoaren aurka erabiltzaile-kontuak blokeatzeko beldurrik gabe.

3. Identifikatu sekretuak partekatutako karpetak.

Behin Domeinu erabiltzaile bat baduzu, karpetak zerrendatzea gomendatzen da sarbidea duzun fitxategi partekatuak (adibidez, smbclient-rekin). In Batzuetan, motaren bat duten dokumentuak identifikatu daitezke kredentziala, baliozkoa edo abiapuntu gisa balio dezakeena beste pasahitzak asmatu.

4. Sistemen identifikazioa zaharkitutako eragiketak

Izan behar du egiaztatu laguntzaz kanpoko sistema eragileak ez direla erabiltzen eta/edo zaharkitua. Ekipamendu mota hau oso erabilgarria izan daiteke, hala baita litekeena da ustiapenekin ahultasun ustiagarriak izatea publikoa. Nahiz eta helburu garrantzitsuak ez izan, horietara sartzeak egin dezake interesgarria izan gordeta dauzkaten kredentzialak lortzeko. Oso da Garrantzitsua da IT kudeatzaileari jakinaraztea exploits erabiliko dituzula, horiek enpresaren zerbitzuan beherakada eragin dezaketen kasuetan.

5. Kontuaren identifikazioa pribilegiatua

Oso da interesgarria den hasierako zenbaketa-prozesu bat egiteko zenbateko osoa konprometitzea ahalbidetzen duten xede-kontuak identifikatzea domeinua. Zenbaketa fase honetan, ez bakarrik kontuak Domeinuaren administratzailea, baina garrantzitsua da baimenak dituzten kontuak identifikatzea ere domeinuan mugimenduak egitea ahalbidetzen duten bereziak. Puntuetan Jarraian ikusiko dugu zergatik den garrantzitsua.

6. Identifikazioa eta Tratu txarrak Ordezkaritza mugatua duten kontuak

Puntu batean Aurretik adierazi zen beharrezkoa zela baimenak dituzten kontuak identifikatzea altua, kontu pribilegiatu mota zehatz bat baita. Hauek ahal eskuordetu dute domeinuaren edozein erabiltzaileren nortasuna ordezkatzeko ahalmena zerbitzu zehatz batzuetarako. Horri esker, lortzen bada ordezkaritza mugatua duen kontu bat arriskuan jarri, posible da nortasuna ordezkatzea Windows zerbitzuetarako edozein erabiltzaileri, hala nola host, RPCSS, http, wsman, cifs, ldap, krbtgt edo winrm.

8. Identifikatzea eta abusuaUnconstrained Ordezkaritza

Hau beste bat da interes handiko kontu pribilegiatu mota. Kontu hauek baimenduta daude kerberosren TGT (Ticket Granting Ticket) jaso eta gordetzeko edozein kontu. Horregatik, haietara sartuz gero, posible izango litzateke horietan gordeta dauden sarrerak. Bestalde, posible da ere behartutako autentifikazio-erasoak makina honetan, hau da, behartzea edozein domino makina murrizketarik gabeko makinaren aurka autentifikatzeko engaiatua. Horrela, biktima berria (domeinu-kontrolatzailea, adibidez) adibidez) zure TGTren kopia bat bidaliko luke murrizketarik gabeko makinara, izaki atzemate posiblea.

9. Identifikatu eta Tratu txarrak DCSync baimenak

Jarraitzen dugu pribilegiatu kontu interesgarriak. Kasu honetan beharrezkoa da identifikatzea DCSync baimenak dituzten kontuak, hau da, DS-Replication-Get-Changes-All baimenak dituzten kontuak eta DS-Replication-Get-Changes. Kredentzial bat arriskuan jartzea lortzen badugu Baimen hauekin, DCSync eraso bat egin dezakegu, edo zer den berdin, itxura ezazu bere sinkronizatu nahi duen domeinu-kontrolatzailea garela datu-basea (ntds.dit) benetako domeinu kontrolatzailearenarekin. Honela Domeinu-hash guztiak lortuko lirateke, Domeinu Administratzailearenak barne.

10. Identifikatu eta abusatuBaliabideetan oinarrituta Ordezkaritza mugatua

Bai atsegin Erasotzaileek kontu bat identifikatu dezakete "GenericWrite" baimenekin edo "GenericAll" "ActiveDirectoryRights" baino gehiago, kontu honek duela esan nahi du edozeini ordezkaritza mugatua baimenak emateko gaitasuna domeinu kontua. Horrek esan nahi du, kontu hau arriskuan jartzen badugu, Adierazi dezakegu domeinuko edozein kontu eska ditzakeela TGSak (Ticket Berme Zerbitzua) domeinuko edozein makinako zerbitzuetarako, gure helburu nagusia barne: domeinu kontrolatzailea.

11. Identifikatu eta Tratu txarrak Zaurgarrien Ziurtagiri Txantiloiak

Mota hau erasoa ziurtagiria edo ziurtagiria bezalako tresnak erabiltzean oinarritzen da CA-n ziurtagiri ahulen txantiloiak identifikatzeko (ziurtagiria agintaritza korporatiboa. Egoera zaurgarri batzuk daude posible, erasotzaileak beste batzuen izenean ziurtagiriak eskatzeko aukera ematen dutenak erabiltzaileak, adibidez, Domeinuko administratzailea batetik edo edozein kontutatik pribilegiatua.

12. Zerbitzuak identifikatzea Zaurgarria

Posible da hori Direktorio aktiboetan bestelako zerbitzuak dituzten makinak daude zabaldutako direktorio aktibokoak (nahiz eta praktika ona ez den), adibidez, Jenkins edo SQL zerbitzuak. Garrantzitsua da zerbitzu horiek identifikatzea zaurgarriak diren egiaztatzeko, kasu askotan balio dezaketelako exekutatzen ari diren makinaren sarbide gisa. Egoera Erasotzaile batentzat aproposa litzateke ustiatu dezaketen zerbitzu bat identifikatzea, eta hori hau erabiltzailearen tokiko administratzaile batekin exekutatzen ari zen makina. Modu honetan, urruneko kodearen exekuzioa lortuz ustiatu daitekeen zerbitzua, makina osoa arriskuan jartzea posible izango litzateke.

13. Kerberoasting

Kerberoasting duten zerbitzu kontuen ustiapenean oinarritzen den erasoa da lotutako Zerbitzu-izenak (SPN). SPN hauek erregistroak dira zerbitzu edo aplikazio zehatz bat zerbitzu-kontu batekin lotu Direktorio aktiboa.

-ren helburua kerberoasting egitea zerbitzu-kontu hauetatik txartelak eskatzea da, geroago, deszifratu lineaz kanpo eta lortu jatorrizko pasahitzak. Hau posible da, eskatutako txartelaren zati bat gako baten bidez zifratzen baita jatorrizko pasahitzetik eratorria.

14. Kredentzialak ateratzea

Behin edozein makina arriskuan, jarraitu beharreko prozedura da ateratzeko gordetako edozein pasahitz bera. Horretarako tresnak erabil daitezke. Mimikatz bezala. Kredentzial hauek baliagarriak izan daitezke mugimenduak egiteko alboak domeinuan zehar, makinak zein erabiltzailetan arriskuan jarriz biltzen ari diren tokiko administratzaileak dira.

Ondorioa

Gutxi batzuk besterik ez ditugu ikusi auditoria batean gehien erabiltzen diren teknikak, baina erasotzaileek deskubritzen dute egunero teknika berriak, bakoitza berritzaileagoa. Horregatik gonbidatzen zaituztegu kontrolatzaileentzako zure bideak ikertu eta ezagutzeko domeinua.


Ignacio Sánchez, Zibersegurtasun Analista Zerolynx.



Itzuli blogera

Utzi iruzkin bat

Kontuan izan iruzkinak argitaratu aurretik onartu behar direla.