Od lokalnego Administratora do Administratora domeny w trzech krokach

Aktorzy: gsecdump, msvctl, psexec.

Czyli po prostu ekspresowa eskalacja uprawnień. Oczywiście jak zawsze, muszą zostać spełnione pewne warunki.🙂
Najprostszy scenariusz zakłada, że:

1. Mamy dostęp na poziomie lokalnego admina do komputera w domenie. Niestety wciąż zbyt często nie stanowi to żadnego problemu, gdy np. szeroko stosowaną praktyką jest dodanie Domain Users do grupy lokalnych administratorów. "Bo wtedy wszystko działa!"😉

2. Na tej stacji chociaż raz zalogowane było konto należące do grupy Domain Admins.

Jeżeli nawet żaden DA (Domain Admin) nie był zalogowowany na komputerze do którego mamy dostęp, to zawsze możemy zacząć od hasza wbudowanego konta lokalnego administratora. Jakie jest prawdopodobieństwo tego, że w sieci hasło lokalnego administratora jest inne na każdej stacji? Minimalne. Często będzie ono takie samo również na serwerach. W ten sposób szybko można wejść w posiadanie hasza DA.

A więc:

1. jako admin na stacji: gsecdump -a
2. msvctl haszNależącyDoDomainAdmins run cmd
3. w nowym oknie cmd: psexec -s
\\domain_kontroller -c gsecdump.exe -s

W ten sposób weszliśmy w posiadanie wszystkich haszy w domenie i możemy "podszyć się" pod każde z nich. Proponuję sprawdzić pod tym kątem swoją sieć. Oczywiście tylko jeżeli mamy na to pozwolenie.🙂

Jak można się przed tym bronić? Przede wszystkim NIE DAJEMY UŻYTKOWNIKOM PRAW LOKALNEGO ADMINISTRATORA! Ogromna poprawa bezpieczeństwa i równocześnie znacznie więcej na naszej głowie.😉 W innym przypadku… ciężko…

Można zwiększyć nieco odporność na tego typu atak…

Przede wszystkim nie logować się gdzie popadnie z kont należacych do Domain Admins i w ogóle ograniczyć do minimum korzystanie z takich kont. Jeżeli już zaistnieje potrzeba logowania DA, to można robić to na wyznaczonej do tego stacji.
Rozumiem, że inne hasło lokalnego admina na każdym komputerze jest często nierealne, ale co z serwerami?😉

Dodatkowo – moim zdaniem – całkiem niezłym pomysłem może być odizolowanie od siebie komputerów użytkowników sieci poprzez zastosowanie np. IPsec i włączenie lokalnego firewalla. Tutaj akurat możemy wygrać znacznie więcej niż tylko zmniejszenie efektywności programów z rodziny "Pass-The-Hash". Skutecznie zminimalizuje to również zagrożenia płynące ze strony różnych wirusów i robaków korzystających z sieci do rozprzestrzeniania się.

No i oczywiście SRP (Software Restriction Policies) ze standardowym poziomem zabezpieczeń ustawionym na Disallowed. Wtedy user nie będzie mógł zbyt łatwo skorzystać między innymi z wymienionych powyżej narzędzi. Dzięki implementacji SRP również zyskamy DUŻO więcej niż tylko ochronę przed gsecdump.🙂

Nie wyeliminuje to całkiem zagrożenia, ale z pewnością je utrudni. W sumie sam jestem ciekaw, jak najskuteczniej bronić się przed takim atakiem.🙂

No comments yet

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Log Out / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Log Out / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Log Out / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Log Out / Zmień )

Connecting to %s

%d bloggers like this: