Организация внутреннего Центр мониторинга и реагирования на инциденты ИБ
Построение SOC
Выполнение требований по защите ПДн
в соответствие с 152-ФЗ
в соответствие с 152-ФЗ
Защита персональных данных
Создание централизованной ИБ-системы
на предприятии
на предприятии
Построение СОИБ
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
Сетевая безопасность
Минимизация ущерба, выявление причин предотвращение повторных инцидентов
Расследование инцидентов ИБ
Объективная оценка ИБ для повышения уровня киберустойчивости
Аудит ИБ
Внедрение принципов ИБ на всех этапах разработки По от сборки до интеграции и развертывания
Безопасная разработка
Оценка защищенности систем и определение возможных векторов атак
Анализ защищенности
Выявление критичных недостатков ИБ и укрепление защиты ИТ-инфраструктуры
Экспресс-повышение уровня защищенности
Подключение к платформе цифрового рубля с полным сопровождением на всех этапах
Цифровой рубль
Выполнение требований 187-ФЗ и организация защиты информационных систем от киберугроз
Комплексная киберзащита субъектов КИИ
Комплексная проверка скрытых признаков компрометации на ИТ-инфраструктуру организации
Compromise Assessment
Предотвращение DDoS-атак любой сложности на уровнях L3 и L4
Анти-DDoS
Защита веб-приложений
WAF
Защита конечных точек
EDR
Анализ трафика
NTA
Управление уязвимостями
Sandbox
Автоматизация процессов управления ИБ, рисков и комплаенса
SGRC
Управление учетными записями и доступом
IdM/IGA
Межсетевые экраны нового поколения
NGFW
Управление уязвимостями
VM
Анализ и корреляция событий
SIEM
Комплексное решение для контроля соответствия требованиям ИБ
CheckU
Непрерывный мониторинг и оперативное реагирование на инциденты для минимизации ущерба
УЦСБ SOC
Облачная DevSecOps-платформа
для непрерывного анализа защищенности приложений
для непрерывного анализа защищенности приложений
Apsafe
Получить рекомендацию
Заполните форму, и специалист Центра кибербезопасности свяжется с вами
Нажимая кнопку «Отправить», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года № 152-ФЗ
«О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
«О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
Сетевая безопасность
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
Построение SOC
Организация внутреннего Центр мониторинга и реагирования на инциденты ИБ
Защита персональных данных
Выполнение требований по защите ПДн
в соответствие с 152-ФЗ
в соответствие с 152-ФЗ
Построение СОИБ
Создание централизованной ИБ-системы
на предприятии
на предприятии
Анти-DDoS
Предотвращение DDoS-атак любой сложности на уровнях L3 и L4
Комплексная киберзащита субъектов КИИ
Выполнение требований 187-ФЗ и организация защиты информационных систем от киберугроз
Compromise Assessment
Комплексная проверка скрытых признаков компрометации на ИТ-инфраструктуру организации
Цифровой рубль
Подключение к платформе цифрового рубля с полным сопровождением на всех этапах
Экспресс-повышение уровня защищенности
Выявление критичных недостатков ИБ и укрепление защиты ИТ-инфраструктуры
Расследование инцидентов ИБ
Минимизация ущерба, выявление причин предотвращение повторных инцидентов
Аудит ИБ
Объективная оценка ИБ для повышения уровня киберустойчивости
Безопасная разработка
Внедрение принципов ИБ на всех этапах разработки По от сборки до интеграции
и развертывания
и развертывания
Анализ защищенности
Оценка защищенности систем и определение возможных векторов атак
MFA
Многофакторная аутентификация
IRP/SOAR
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
NGFW
Межсетевые экраны нового поколения
PAM
Контроль привилегированного доступа
TI
Киберразведка
SA
Повышение киберграмотности сотрудников
WAF
Защита веб-приложений
DLP
Предотвращение утечек информации
SGRC
Автоматизация процессов управления ИБ, рисков и комплаенса
IdM/IGA
Управление учетными записями и доступом
EDR
Защита конечных точек
NTA
Анализ трафика
Sandbox
Сетевые лесочницы
VM
Управление уязвимостями
SIEM
Анализ и корреляция событий
Чтобы сделать сайт более удобным,
мы собираем cookie-файлы. Отключить сбор cookie можно в настройках браузера. Подробную информацию о файлах cookie можно изучить здесь.
мы собираем cookie-файлы. Отключить сбор cookie можно в настройках браузера. Подробную информацию о файлах cookie можно изучить здесь.
История одного веб-сервиса: как забытые ресурсы могут стать дверью во внутреннюю сеть
26 сентября 2024
Недавно мы рассказывали об успешном участии экспертов УЦСБ в премии для специалистов по тестированию на проникновение Pentest Award и обещали вернуться с детальным описанием интересных кейсов, с которыми участвовали наши пентестеры.
В этой статье поделимся, как у одного из наших заказчиков пентестеры вовремя обнаружили уязвимость, которую потенциальные злоумышленники могли использовать для закрепления во внутренней корпоративной сети.
На примере этого кейса вы сможете узнать о новых векторах атак, оценить риски для своей инфраструктуры и найти советы, как устранить подобные уязвимости и повысить уровень защищенности.
Недавно мы рассказывали об успешном участии экспертов УЦСБ в премии для специалистов по тестированию на проникновение Pentest Award и обещали вернуться с детальным описанием интересных кейсов, с которыми участвовали наши пентестеры.
В этой статье поделимся, как у одного из наших заказчиков пентестеры вовремя обнаружили уязвимость, которую потенциальные злоумышленники могли использовать для закрепления во внутренней корпоративной сети.
На примере этого кейса вы сможете узнать о новых векторах атак, оценить риски для своей инфраструктуры и найти советы, как устранить подобные уязвимости и повысить уровень защищенности.
Разведка
В одном из наших проектов мы проводили разведку по скоупу в несколько тысяч IP-адресов.
Одной из задач разведки был сбор старых или забытых доменных имен с помощью техники Passive DNS.
Одной из задач разведки был сбор старых или забытых доменных имен с помощью техники Passive DNS.
Passive DNS - набор записей, содержащих результаты разрешения DNS для доменов в соответствующие IP-адреса
Одним из сервисов, предоставляющих доступ к данным Passive DNS, является VirusTotal. Написав небольшой скрипт, который отправляет запросы к API VirusTotal, мы собрали довольно много интересных доменных имен.
Именно в результате сбора доменов с помощью Passive DNS и нашелся тот самый забытый веб-сервис, который впоследствии оказался уязвимым. Доменное имя этого сервиса было в прямом смысле пятиэтажным, условно назовем его так: web1.smth.smth.companyname.com.
Это был самописный сервис мониторинга некоторых других сервисов, на который, судя по логам, последний раз заходили около месяца назад. Доступ к нему мы получили с помощью учетных данных по умолчанию, создали отдельную учетную запись администратора для дальнейшего тестирования и, конечно же, оповестили отдел ИБ заказчика об обнаружении уязвимости.
На следующий день отдел ИБ закрыл уязвимый ресурс, хотя от заказчика в то же время был запрос на продолжение тестирования этого веб-приложения. Что ж, не беда – продолжаем изучать бескрайний внешний периметр.
Теперь один важный момент: перед тем как отдел ИБ отключил уязвимый сервис, мы спарсили все учетные данные пользователей, которые хранились в открытом виде прямо в разметке HTML. Естественно, среди них были и учетные записи администраторов.
Вот, например, как выглядел кусочек списка пользователей:
Именно в результате сбора доменов с помощью Passive DNS и нашелся тот самый забытый веб-сервис, который впоследствии оказался уязвимым. Доменное имя этого сервиса было в прямом смысле пятиэтажным, условно назовем его так: web1.smth.smth.companyname.com.
Это был самописный сервис мониторинга некоторых других сервисов, на который, судя по логам, последний раз заходили около месяца назад. Доступ к нему мы получили с помощью учетных данных по умолчанию, создали отдельную учетную запись администратора для дальнейшего тестирования и, конечно же, оповестили отдел ИБ заказчика об обнаружении уязвимости.
На следующий день отдел ИБ закрыл уязвимый ресурс, хотя от заказчика в то же время был запрос на продолжение тестирования этого веб-приложения. Что ж, не беда – продолжаем изучать бескрайний внешний периметр.
Теперь один важный момент: перед тем как отдел ИБ отключил уязвимый сервис, мы спарсили все учетные данные пользователей, которые хранились в открытом виде прямо в разметке HTML. Естественно, среди них были и учетные записи администраторов.
Вот, например, как выглядел кусочек списка пользователей:
А вот как хранился пароль:
Полученные учетные записи мы применили на других ресурсах компании. Половина пользователей действительно существовала, но пароли были давным-давно изменены.
Но вернемся к дальнейшему изучению внешнего периметра. Одной из параллельных задач был перебор поддоменов с помощью gobuster. Спустя какое-то время до него по конвейеру дошел уже знакомый нам L4-домен *.smth.smth.companyname.com и… вуаля! Нашелся тот же самый ресурс, но уже с другим алиасом – пусть он будет называться vulnerable.smth.smth.companyname.com.
Но вернемся к дальнейшему изучению внешнего периметра. Одной из параллельных задач был перебор поддоменов с помощью gobuster. Спустя какое-то время до него по конвейеру дошел уже знакомый нам L4-домен *.smth.smth.companyname.com и… вуаля! Нашелся тот же самый ресурс, но уже с другим алиасом – пусть он будет называться vulnerable.smth.smth.companyname.com.
Алиас — дополнительное имя, которое предоставляет пользователю доступ к контенту с основного домена без переадресации
Поиск уязвимостей и недостатков
Здесь уже не было дефолтных учетных данных админа, поэтому нам пригодилась учетная запись администратора из предусмотрительно сделанного ранее дампа ресурса web1.smth.smth.companyname.com.
Получаем доступ, разбираем приложение – находим SQL-инъекцию. Находка была получена уже под вечер, первое время удавалось реализовать error-basedSQLi и blind (time-based) SQLi. Также мы могли читать локальные файлы с помощью встроенной функции MSSQL – OpenRowset.
Получаем доступ, разбираем приложение – находим SQL-инъекцию. Находка была получена уже под вечер, первое время удавалось реализовать error-basedSQLi и blind (time-based) SQLi. Также мы могли читать локальные файлы с помощью встроенной функции MSSQL – OpenRowset.
Функция OpenRowset в MS SQL может считывать данные из файла без их загрузки в целевую таблицу
Путь к RCE
Вечером того же дня докрутили инъекцию до Out-Of-Band с помощью следующей полезной нагрузки:
В целом, ничего сверхъестественного – в одну строчку назначаем произвольную переменную, присваиваем переменной hostname удаленного сервера, с помощью функции execотправляем на исполнение. Пришлось немного пошаманить с hostname, скорее всего WAF блокировал запросы к *.oastify.com. С помощью нехитрых манипуляций – разделения FQDN на части и конкатенации строк – получаем отстук на удаленный сервер.
Для дальнейшего развития атаки было нужно решить две задачи:
-получить права на использование функции xp_cmdshell,
-обойти сетевые ограничения: весь TCP трафик отбрасывался, проходили только DNS запросы, использующие UDP.
С первым вопросом мы разобрались довольно быстро. С помощью базы данных master сконфигурировали использование xp_cmdshell, так как в нашем распоряжении была сервисная учетная запись sa, у которой по умолчанию есть права на запись в базу данных master. Получилось это с помощью классической полезной нагрузки: use master; sp_configure 'xp_cmdshell', '1'; RECONFIGURE.
-получить права на использование функции xp_cmdshell,
-обойти сетевые ограничения: весь TCP трафик отбрасывался, проходили только DNS запросы, использующие UDP.
С первым вопросом мы разобрались довольно быстро. С помощью базы данных master сконфигурировали использование xp_cmdshell, так как в нашем распоряжении была сервисная учетная запись sa, у которой по умолчанию есть права на запись в базу данных master. Получилось это с помощью классической полезной нагрузки: use master; sp_configure 'xp_cmdshell', '1'; RECONFIGURE.
Процесс реконфига прошел успешно, теперь мы можем удаленно исполнять код.
Закрепление
Теперь осталось решить вопрос с получением сессии и закреплением. Обычный reverse shell получить не удалось из-за ограничений на уровне сети. Поэтому мы обратились за помощью к нашему небезызвестному коллеге и товарищу @s0i37. Очень пригодилась статья про способы передачи файлов через DNS, а также сам клиент-сервер для DNS shell.
Осталось понять, каким образом мы можем передать .vbsклиент на веб-сервер. Поразмыслив, мы пришли к тому, что у нас в активе только один вариант – энкод .vbs-скрипта в base64 и построчная передача в файл через Burp Intruder. Далее с помощью certutil декодируем файл и получаем рабочий DNS-клиент.
Осталось понять, каким образом мы можем передать .vbsклиент на веб-сервер. Поразмыслив, мы пришли к тому, что у нас в активе только один вариант – энкод .vbs-скрипта в base64 и построчная передача в файл через Burp Intruder. Далее с помощью certutil декодируем файл и получаем рабочий DNS-клиент.
Примерно так выглядела построчная передача файла:
А вот так мы декодируем файл DNS-клиента на стороне сервера:
Сессия с помощью DNS shell получена. По совету наших инфраструктурщиков мы проверили сетевой доступ со скомпрометированной машины до DC и обнаружили, что взаимодействие по SMB разрешено:
Дело осталось за малым: нужно провести локальное повышение привилегий и передать машину коллегам-специалистам по тестированию внутренней инфраструктуры.
В локальном повышении нам поможет включенная SeImpersonatePrivilege, берем эксплойт из семейства «картошек» или PrintSpoofer, повышаемся и передаем машинку коллегам.
В локальном повышении нам поможет включенная SeImpersonatePrivilege, берем эксплойт из семейства «картошек» или PrintSpoofer, повышаемся и передаем машинку коллегам.
Заключение
Список уязвимостей в цепочке:
Так выглядит полная схема «пробива» периметра:
- Использование словарных паролей
- Небезопасное хранение паролей
- Error-based SQL-инъекция
- Включенная привилегия SeImpersonatePriveleges у сервисной учетной записи
Так выглядит полная схема «пробива» периметра:
Какие уроки можно извлечь из этого кейса?
Прежде всего, нельзя допускать использования словарных паролей, поэтому нужно не только внедрять парольные политики, но и контролировать их соблюдение.
Также очевидно, что хранить пароли в незашифрованном виде, а тем более в разметке страницы – плохая идея. Кроме того, стоит помнить о необходимости использования параметризованных запросов во избежание возникновения возможностей для SQL-инъекций.
Наконец, последние звенья цепочки показывают, как важно отключать привилегии учетных записей, если они не являются необходимыми – в частности, такие привилегии, как SeImpersonate Privilege.
Автор: Семён Тумашев, специалист по анализу защищённости УЦСБ.
Прежде всего, нельзя допускать использования словарных паролей, поэтому нужно не только внедрять парольные политики, но и контролировать их соблюдение.
Также очевидно, что хранить пароли в незашифрованном виде, а тем более в разметке страницы – плохая идея. Кроме того, стоит помнить о необходимости использования параметризованных запросов во избежание возникновения возможностей для SQL-инъекций.
Наконец, последние звенья цепочки показывают, как важно отключать привилегии учетных записей, если они не являются необходимыми – в частности, такие привилегии, как SeImpersonate Privilege.
Автор: Семён Тумашев, специалист по анализу защищённости УЦСБ.
Свяжитесь с экспертами Центра кибербезопасности УЦСБ, чтобы реализовать тестирование на проникновение (пентест) и избежать возможных киберугроз
Подпишитесь на нашу рассылку
Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы
Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных