Атака на Active Directory

В свое время я рассказывал про брешь в системе информационной безопасности Active Directory, которая повсеместно встречается в большинстве компаний. Брешь связана с включенной локальной учетной записью дефалтового администратора на рабочих местах корпоративных пользователей. Тогда я рассуждал о том, что существует вероятность компрометации пароля для этой учетной записи, например, с использованием "радужных таблиц", и как следствие, компрометация других доменных компьютеров (в лучшем случае компьютеров непривилегированных пользователей и не компьютеров из отдела бухгалтерии;)). Однако, зачем нам пароль, когда у нас на руках LM&NTLM хеш? Правильно, тратить время на восстановление пароля совершенно не нужно – Pass-The-Hash решит задачу дешево и сердито.

Потому в очередной раз напоминаю, что в доменной архитектуре локальная учетная запись не требуется! И даже будучи отключенной, она доступна при загрузке в безопасном режиме.

PS: действо с отключением локальной учетной записи администратора вовсе не означает, что для нее не нужно регулярно менять используемый пароль, т.к. стоит только немного расслабиться, как инсайдер задерживаясь на работе дольше остальных, начнет сливать информацию с чужих компьютеров, загружаясь в безопасном режиме:)

4 комментария :

  1. скажем так, это весьма известная брешь :)
    собственно если копнуть глубже, то при логине на декстопы с учетной записью домен админа или другого привелигерованного пользователя - это еще большая проблема.
    Но решений этих проблем - куча, и майкрософт на самом деле, создавая РОДС в 2008-ом сервера - показало, что понимает свои "тонкие" места.

    ОтветитьУдалить
  2. >> скажем так, это весьма известная брешь :)
    так, а я и не претендую :) да известная... и при пентестах всплывает сплошь и рядом...
    >> собственно если копнуть глубже
    да да да... так один крупный пентест с использованием этой проблемы оч. показательно выстрелил. я думал над концептуальным решением. пока пришел к следующему (мы говорим про уровень enterprise от 5.000 пользователей):
    1. "тяжелая" таблица делегирования в AD + "правильное" разделение учетных записей, как результат сложности у администраторов... сложности можно разрешить с использованием смарт-карт (например одна смарт-карта = несколько уч. записей)
    2. мониторинг изменений событий безопасности в AD приближенный к реальному времени

    >> майкрософт на самом деле, создавая РОДС
    и это не решение проблемы... да! вещь полезная, но обсуждаемую проблему не решает

    ОтветитьУдалить
  3. использование баги в протоколе NTLMv1 (exploit), видео

    ОтветитьУдалить