Организация внутреннего Центр мониторинга и реагирования на инциденты ИБ
Построение SOC
Выполнение требований по защите ПДн
в соответствие с 152-ФЗ
в соответствие с 152-ФЗ
Защита персональных данных
Создание централизованной ИБ-системы
на предприятии
на предприятии
Построение СОИБ
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
Сетевая безопасность
Минимизация ущерба, выявление причин предотвращение повторных инцидентов
Расследование инцидентов ИБ
Объективная оценка ИБ для повышения уровня киберустойчивости
Аудит ИБ
Внедрение принципов ИБ на всех этапах разработки По от сборки до интеграции и развертывания
Безопасная разработка
Оценка защищенности систем и определение возможных векторов атак
Анализ защищенности
Выявление критичных недостатков ИБ и укрепление защиты ИТ-инфраструктуры
Экспресс-повышение уровня защищенности
Подключение к платформе цифрового рубля с полным сопровождением на всех этапах
Цифровой рубль
Выполнение требований 187-ФЗ и организация защиты информационных систем от киберугроз
Комплексная киберзащита субъектов КИИ
Комплексная проверка скрытых признаков компрометации на ИТ-инфраструктуру организации
Compromise Assessment
Предотвращение DDoS-атак любой сложности на уровнях L3 и L4
Анти-DDoS
Защита веб-приложений
WAF
Защита конечных точек
EDR
Анализ трафика
NTA
Управление уязвимостями
Sandbox
Автоматизация процессов управления ИБ, рисков и комплаенса
SGRC
Управление учетными записями и доступом
IdM/IGA
Межсетевые экраны нового поколения
NGFW
Управление уязвимостями
VM
Анализ и корреляция событий
SIEM
Комплексное решение для контроля соответствия требованиям ИБ
CheckU
Непрерывный мониторинг и оперативное реагирование на инциденты для минимизации ущерба
УЦСБ SOC
Облачная DevSecOps-платформа
для непрерывного анализа защищенности приложений
для непрерывного анализа защищенности приложений
Apsafe
Получить рекомендацию
Заполните форму, и специалист Центра кибербезопасности свяжется с вами
Нажимая кнопку «Отправить», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года № 152-ФЗ
«О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
«О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
Сетевая безопасность
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
Построение SOC
Организация внутреннего Центр мониторинга и реагирования на инциденты ИБ
Защита персональных данных
Выполнение требований по защите ПДн
в соответствие с 152-ФЗ
в соответствие с 152-ФЗ
Построение СОИБ
Создание централизованной ИБ-системы
на предприятии
на предприятии
Анти-DDoS
Предотвращение DDoS-атак любой сложности на уровнях L3 и L4
Комплексная киберзащита субъектов КИИ
Выполнение требований 187-ФЗ и организация защиты информационных систем от киберугроз
Compromise Assessment
Комплексная проверка скрытых признаков компрометации на ИТ-инфраструктуру организации
Цифровой рубль
Подключение к платформе цифрового рубля с полным сопровождением на всех этапах
Экспресс-повышение уровня защищенности
Выявление критичных недостатков ИБ и укрепление защиты ИТ-инфраструктуры
Расследование инцидентов ИБ
Минимизация ущерба, выявление причин предотвращение повторных инцидентов
Аудит ИБ
Объективная оценка ИБ для повышения уровня киберустойчивости
Безопасная разработка
Внедрение принципов ИБ на всех этапах разработки По от сборки до интеграции
и развертывания
и развертывания
Анализ защищенности
Оценка защищенности систем и определение возможных векторов атак
MFA
Многофакторная аутентификация
IRP/SOAR
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
NGFW
Межсетевые экраны нового поколения
PAM
Контроль привилегированного доступа
TI
Киберразведка
SA
Повышение киберграмотности сотрудников
WAF
Защита веб-приложений
DLP
Предотвращение утечек информации
SGRC
Автоматизация процессов управления ИБ, рисков и комплаенса
IdM/IGA
Управление учетными записями и доступом
EDR
Защита конечных точек
NTA
Анализ трафика
Sandbox
Сетевые лесочницы
VM
Управление уязвимостями
SIEM
Анализ и корреляция событий
Чтобы сделать сайт более удобным,
мы собираем cookie-файлы. Отключить сбор cookie можно в настройках браузера. Подробную информацию о файлах cookie можно изучить здесь.
мы собираем cookie-файлы. Отключить сбор cookie можно в настройках браузера. Подробную информацию о файлах cookie можно изучить здесь.
Что общего между PetitPotam, NTLM Relay и PrintNighmare? На примере пентеста рассказываем, к чему может привести отсутствие обновлений
17 января 2024
Команда Центра кибербезопасности УЦСБ продолжает рассказывать о самых интересных практиках пентеста. Напоминаем, что в прошлой статье мы писали о том, как нам удалось пробить периметр с двух точек: Windows- и Linux-серверов, а также захватить внутреннюю инфраструктуру компании.
В этот раз мы покажем, как компрометация домена Active Directory (AD) может привести к полной остановке деятельности компании на неопределенное время. Надеемся, наши кейсы будут вам полезны, а этот опыт позволит избежать схожих проблем!
Команда Центра кибербезопасности УЦСБ продолжает рассказывать о самых интересных практиках пентеста. Напоминаем, что в прошлой статье мы писали о том, как нам удалось пробить периметр с двух точек: Windows- и Linux-серверов, а также захватить внутреннюю инфраструктуру компании.
В этот раз мы покажем, как компрометация домена Active Directory (AD) может привести к полной остановке деятельности компании на неопределенное время. Надеемся, наши кейсы будут вам полезны, а этот опыт позволит избежать схожих проблем!
Предыстория
В 2023 году в крупной компании произошел инцидент, который вызвал простой процессов и повлек за собой большие убытки. После устранения последствий руководство решило убедиться, что слабых мест в системе защиты больше нет. Именно поэтому компания обратилась к нам для проведения независимой оценки безопасности с помощью пентеста.
С чего все начиналось
Стоит отметить, что работы проводились по методу черного ящика. Так, перед началом внутреннего тестирования мы пробили внешний периметр компании и получили доступ к Linux от root.
Метод чёрного ящика предполагает имитирование взлома злоумышленниками, которые ничего не знают об инфраструктуре организации.
После проведения разведки низко висящих фруктов не нашлось — не было MS17, Zerologon, BlueKeep, дефолтные пароли почти никуда не подходили. Время на проведение работ по проекту подходило к концу.
Неожиданно получилась цепочка эксплуатации хорошо известных уязвимостей PetitPotam + Relay + PrintNightmare + impersonate в одном месте. Догадаться использовать эти уязвимости и мисконфиги оказалось непросто. Гайдов и описаний эксплуатации из такого контекста не было.
В процессе работы пришлось импровизировать и придумывать, как с этим работать. Также не обошлось и без везения — активной сессии администратора на захваченной машине. Наградой за кропотливый труд стало повышение привилегий до администратора домена.
Схема захвата Windows машины приведена ниже.
Неожиданно получилась цепочка эксплуатации хорошо известных уязвимостей PetitPotam + Relay + PrintNightmare + impersonate в одном месте. Догадаться использовать эти уязвимости и мисконфиги оказалось непросто. Гайдов и описаний эксплуатации из такого контекста не было.
В процессе работы пришлось импровизировать и придумывать, как с этим работать. Также не обошлось и без везения — активной сессии администратора на захваченной машине. Наградой за кропотливый труд стало повышение привилегий до администратора домена.
Схема захвата Windows машины приведена ниже.
Принуждение к аутентификации CVE-2021-36942 (PetitPotam или Бегемотик)
Уязвимость CVE-2021-36942, известная также как PetitPotam, заключается в возможности вызова без аутентификации методов протокола MS-EFSRPC. В результате вызовов этих методов атакованный узел осуществляет запрос на указанный узел, вместе с тем при подключении к нему происходит аутентификация с использованием механизма NTLM.
Потенциальный нарушитель может таким образом провоцировать аутентификацию атакуемых узлов на подконтрольном ему узле для проведения дальнейших атак, нацеленных на получение доступа к домену или повышение привилегий.
В ходе работ мы проверили возможность эксплуатации уязвимости CVE-2021-36942 на нескольких узлах внутренней сети.
В результате было обнаружено, что этой уязвимости подвержены несколько узлов из домена. Демонстрация эксплуатации уязвимости приведена на Рисунке 1.
Потенциальный нарушитель может таким образом провоцировать аутентификацию атакуемых узлов на подконтрольном ему узле для проведения дальнейших атак, нацеленных на получение доступа к домену или повышение привилегий.
В ходе работ мы проверили возможность эксплуатации уязвимости CVE-2021-36942 на нескольких узлах внутренней сети.
В результате было обнаружено, что этой уязвимости подвержены несколько узлов из домена. Демонстрация эксплуатации уязвимости приведена на Рисунке 1.
Рисунок 1 – Результат эксплуатации уязвимости CVE-2021-36942
Полученные таким образом NetNTLMv2-хэши были использованы при выполнении шагов, описанных в следующем разделе.
Уязвимость CVE-2021-34527 (PrintNightmare)
С помощью уязвимости PrintNightmare потенциальный злоумышленник может повысить свои привилегии на узле с ОС Windows, используя очередь печати Windows. Эксплуатация уязвимости происходит удаленно, для нее необходима учетная запись с привилегиями обычного пользователя. Так как у нас ее не было, дальнейшие этапы работы проводились в контексте NTLM Relay-атаки с использованием машинной учетки.
Получение машинной УЗ
При выполнении NTLM relay-атаки злоумышленник внедряется между клиентом и сервером, используя особенности протокола NTLM. Поэтому в результате атаки он может успешно проводить аутентификацию на целевом узле от имени перехваченной УЗ. Демонстрация захвата сессии SMB приведена на Рисунке 2.
Рисунок 2 – Установка SMB-сессии с узлом
После установления SMB-соединений мы проверили возможность чтения и записи сетевых папок от имени машинной УЗ. На одном из узлов было обнаружено соответствующее право. На сетевой папке с возможностью записи мы разместили файл с расширением DLL, который позволял пентестеру выполнять команды от имени системы.
Демонстрация подключения к сетевой папке приведена на Рисунке 3.
Демонстрация подключения к сетевой папке приведена на Рисунке 3.
Рисунок 3 – Открытие SMB-сессии на узле
Далее был загружен на узел файл DLL. Демонстрация загрузки приведена на Рисунке 4.
Рисунок 4 – Загрузка вредоносной библиотеки pn64_sticky_nla.dll на узел
Затем мы провели эксплуатацию уязвимости, как показано на Рисунке 5.
Рисунок 5 – Эксплуатация уязвимости PrintNightmare на узле
В результате успешной эксплуатации удалось получить доступ к узлу от имени системы. Демонстрация полученного доступа к целевому узлу представлена на Рисунке 6.
Рисунок 6 – Вызов командной строки на узле
Повышение привилегий до администратора домена
После получения доступа от имени системы мы обнаружили, что на узле находится сессия администратора домена. С помощью техники impersonate удалось получить сессию от имени администратора домена.
На сетевом диске, доступном для записи, был размещен исполняемый файл incognito.exe и запущена команда для открытия консоли от имени администратора домена (Рисунок 7).
На сетевом диске, доступном для записи, был размещен исполняемый файл incognito.exe и запущена команда для открытия консоли от имени администратора домена (Рисунок 7).
Рисунок 7 – Повышение привилегий до администратора домена
Заметим, что права администратора домена предоставляют пользователю полный доступ к файлам, каталогам, службам и другим ресурсам, которые находятся в домене AD. Учетная запись с правами администратора домена может использоваться для создания учетных записей, а также для назначения им прав и разрешений на управление доступом. Контроль над учетной записью с правами администратора домена означает контроль над всем доменом AD.
Вывод
Таким образом, вход в инфраструктуру компании был полностью скомпрометирован. Мы получили полный доступ ко всем рабочими станциям и серверам, системам виртуализации и системам резервного копирования.
Так как все сервисы компании завязаны на домене AD, его компрометация могла бы привести к полной остановке деятельности компании на неопределенный промежуток времени. Избежать таких последствий можно было с помощью простого действия — своевременной установки обновлений. Ниже несколько рекомендаций.
PetitPotam:
- Установить обновления безопасности в соответствии с версией системы: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36942
- Настроить брандмауэр: https://habr.com/ru/articles/688682/
PrintNightmare:
- Установить обновления безопасности в соответствии с версией системы: https://msrc.microsoft.com/update-guide/en-us/vulnerability/CVE-2021-34527
- Отключить spooler, если он не используется.
Автор: Владислав Дриев, специалист по анализу защищенности УЦСБ
Так как все сервисы компании завязаны на домене AD, его компрометация могла бы привести к полной остановке деятельности компании на неопределенный промежуток времени. Избежать таких последствий можно было с помощью простого действия — своевременной установки обновлений. Ниже несколько рекомендаций.
PetitPotam:
- Установить обновления безопасности в соответствии с версией системы: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36942
- Настроить брандмауэр: https://habr.com/ru/articles/688682/
PrintNightmare:
- Установить обновления безопасности в соответствии с версией системы: https://msrc.microsoft.com/update-guide/en-us/vulnerability/CVE-2021-34527
- Отключить spooler, если он не используется.
Автор: Владислав Дриев, специалист по анализу защищенности УЦСБ
Свяжитесь с экспертами Центра кибербезопасности УЦСБ, чтобы реализовать тестирование на проникновение (пентест) и избежать возможных киберугроз
Подпишитесь на нашу рассылку
Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы
Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных