Немного отвлекшись от подготовки материалов по окончанию форума Positive Hack Days 2011, ваш покорный слуга переключился на другие, не менее интересные работы, и устроил себе скромную реабилитацию на несколько дней. А что может быть лучшим времяпрепровождением, чем участие в комплексном тестировании на проникновение в отношении крупной организации? Вот и я так думаю. Потому и организовал себе отдушину в виде корпоративного CTF :)
Все шло как обычно. Технологический пробив внешнего периметра с доступом к корпоративной информационной системе центрального офиса. Затем подобная участь постигла и региональные представительства организации. А на завершающем этапе, все по-взрослому, тест на проникновение плавно перешел от "внешнего" к "внутреннему".
На этапе внутреннего пентеста сеть центрального офиса сопротивлялась аж целых три дня. Частично это было обусловлено используемыми механизмами ограничения доступа в проводных сетях (802.1x). Но ни какие ограничения (в связи с грядущими нововведениями в УК РФ было принято волевое решение механизмы "защиты" переименовать в механизмы "ограничения";)) не могли спасти информационную систему от получения максимальных привилегий ко всем ее компонентам, когда слажено, работают трое позитивных пентестера. И это даже при том, что со стороны заказчика было запрещено использование бинарных уязвимостей (это к слову, веяние последних пентестов; и крутись "зайчик", как хочешь).
В каждом новом офисе компании сюжетная линия повторялась, и мы выходили победителями за короткие промежутки времени. Но один из офисов внес элемент неожиданного восторга. И об этом ниже.
Прибыв на место проведения пентеста в составе четырех человек, параллельно и по отлаженному сценарию, были запущены проверки проводной/беспроводной сети с имеющихся ноутбуков. Первые пять минут исследования информационной системы позволили подобрать пароль к идентификатору "administrator" в корневом домене. Парни расстроились, скучно :) Но как показали следующие шаги, подобранный пароль к учетной записи с ярко выраженным идентификатором вовсе не был администратором и исследование сети продолжилось на приподнятой волне.
Буквально через пару минут после казуса с пользователем "administrator" в технологическом сегменте сети было обнаружено веб-приложение, которое широко используется в крупных компаниях. Указанное приложение для обеспечения собственного функционала обладает возможностями "подтягивать" идентификаторы пользователей из имеющихся хранилищ. Примером подобного хранилища может выступать, например, Active Directory. Нужно сказать, что обнаруженное приложение дыряво, как дуршлаг и у нас на тот момент уже имелся полностью автоматизированный эксплоит для выгрузки резервной копии СУБД этого приложения. Таким образом, уже через пару минут после обнаружения уязвимого приложения мы стали обладателями действующей учетной записью в корневом домене, которая использовалась для синхронизации идентификаторов пользователей в приложении с контроллеров домена и помимо этого являлась администратором этого домена.
По прошествии следующих пяти минут, используя достигнутые привилегии, нами был найден текстовый файл, содержащий список всех имеющихся администраторов и их паролей, как для внутренних, так и для внешних систем. На этом можно было бы и закончить этот пентест... но тем и отличаются позитивные пентесты, что даже в таком контексте все прочие сценарии атак с более низкими привилегиями, ровно как, и с отсутствием каких-либо привилегий, были полностью отработаны.
Так что же позволило добиться подобных результатов всего за 900 секунд?
Во-первых, в компании не проводилось тестирование веб-приложений, предназначенные для промышленного использования. Отсюда следует сделать вывод, что, даже покупая корпоративное приложение под раскрученным брендом, не стоит слепо верить в его защищенность.
Во-вторых, администраторами не обосновано использовалась учетная запись с повышенными привилегиями для синхронизации идентификаторов пользователей в Active Directory с (уязвимым) приложением. Для этих целей могла бы использоваться любая учетная запись обычного доменного пользователя. Минимизация привилегий везде – один из основных постулатов информационной безопасности, которым не стоит пренебрегать.
И наконец, в третьих, для совместной работы администраторы хранили чувствительную информацию в открытом виде, чего делать, разумеется, нельзя. И к слову, использование для аналогичных целей таблицу в формате Microsoft Excel (особенно времен версии 2000; встречаются и такие) также не есть секурно.
Все шло как обычно. Технологический пробив внешнего периметра с доступом к корпоративной информационной системе центрального офиса. Затем подобная участь постигла и региональные представительства организации. А на завершающем этапе, все по-взрослому, тест на проникновение плавно перешел от "внешнего" к "внутреннему".
На этапе внутреннего пентеста сеть центрального офиса сопротивлялась аж целых три дня. Частично это было обусловлено используемыми механизмами ограничения доступа в проводных сетях (802.1x). Но ни какие ограничения (в связи с грядущими нововведениями в УК РФ было принято волевое решение механизмы "защиты" переименовать в механизмы "ограничения";)) не могли спасти информационную систему от получения максимальных привилегий ко всем ее компонентам, когда слажено, работают трое позитивных пентестера. И это даже при том, что со стороны заказчика было запрещено использование бинарных уязвимостей (это к слову, веяние последних пентестов; и крутись "зайчик", как хочешь).
В каждом новом офисе компании сюжетная линия повторялась, и мы выходили победителями за короткие промежутки времени. Но один из офисов внес элемент неожиданного восторга. И об этом ниже.
Прибыв на место проведения пентеста в составе четырех человек, параллельно и по отлаженному сценарию, были запущены проверки проводной/беспроводной сети с имеющихся ноутбуков. Первые пять минут исследования информационной системы позволили подобрать пароль к идентификатору "administrator" в корневом домене. Парни расстроились, скучно :) Но как показали следующие шаги, подобранный пароль к учетной записи с ярко выраженным идентификатором вовсе не был администратором и исследование сети продолжилось на приподнятой волне.
Буквально через пару минут после казуса с пользователем "administrator" в технологическом сегменте сети было обнаружено веб-приложение, которое широко используется в крупных компаниях. Указанное приложение для обеспечения собственного функционала обладает возможностями "подтягивать" идентификаторы пользователей из имеющихся хранилищ. Примером подобного хранилища может выступать, например, Active Directory. Нужно сказать, что обнаруженное приложение дыряво, как дуршлаг и у нас на тот момент уже имелся полностью автоматизированный эксплоит для выгрузки резервной копии СУБД этого приложения. Таким образом, уже через пару минут после обнаружения уязвимого приложения мы стали обладателями действующей учетной записью в корневом домене, которая использовалась для синхронизации идентификаторов пользователей в приложении с контроллеров домена и помимо этого являлась администратором этого домена.
По прошествии следующих пяти минут, используя достигнутые привилегии, нами был найден текстовый файл, содержащий список всех имеющихся администраторов и их паролей, как для внутренних, так и для внешних систем. На этом можно было бы и закончить этот пентест... но тем и отличаются позитивные пентесты, что даже в таком контексте все прочие сценарии атак с более низкими привилегиями, ровно как, и с отсутствием каких-либо привилегий, были полностью отработаны.
Так что же позволило добиться подобных результатов всего за 900 секунд?
Во-первых, в компании не проводилось тестирование веб-приложений, предназначенные для промышленного использования. Отсюда следует сделать вывод, что, даже покупая корпоративное приложение под раскрученным брендом, не стоит слепо верить в его защищенность.
Во-вторых, администраторами не обосновано использовалась учетная запись с повышенными привилегиями для синхронизации идентификаторов пользователей в Active Directory с (уязвимым) приложением. Для этих целей могла бы использоваться любая учетная запись обычного доменного пользователя. Минимизация привилегий везде – один из основных постулатов информационной безопасности, которым не стоит пренебрегать.
И наконец, в третьих, для совместной работы администраторы хранили чувствительную информацию в открытом виде, чего делать, разумеется, нельзя. И к слову, использование для аналогичных целей таблицу в формате Microsoft Excel (особенно времен версии 2000; встречаются и такие) также не есть секурно.
Комментариев нет :
Отправить комментарий