نوشته‌ها

تنظیمات اشتباه در Active directory که امنیت ما را به خطر می اندازند

تنظیمات اشتباه در Active directory که امنیت ما را به خطر می اندازند

تنظیمات اشتباه در Active directory که امنیت ما را به خطر می اندازند: گاهی اوقات پیش می آید که تنظیمات اشتباه در دایرکتوری فعال ، همانند موارد کوتاهی که در زیر ذکر شد است، باعث به خطر افتادن امنیت در اطلاعات شرکها شود.

1* تنظیمات سیاست گروهی کلمات عبور قابل مشاهده ، (Group Policy Preferences Visible Passwords)

تنظیمات سیاست گروهی به ادمین اجازه می دهد تا هنگامی که یک کاربر عمل لاگین (Login) را انجام می دهد ، به وسیله ی اعتبارهای (Credential) تعیین شده ، حساب های کاربری Local Admin را تنظیم کند.

GPPs برای SYSVOL مربوط به Domain Controler ها نوشته شده است.

یک هکر می تواند به فایل های GPP xml داخل SYSVOL Share دسترسی پیدا کند و اعتبارهای تعیین شده ای که در GPP قرار دارند را استخراج کنند.

تهدیدهایی که به دلیل تنظیمات اشتباه در Group Policy رخ می دهد:

هکر می تواند دسترسی های مشابه و دسترسی حساب های کاربری که از GPP استخراج کرده است ، را به دست آورد.

نکته: حساب های کاربری که برای ایجاد GPPs استفاده می شوند معمولا دسترسی Local Admin را برای هر ماشین دارند.

2*  (SID) شناسه امنیت پنهان ، (Hidden Security Identifier)

سوء استفاده از SID History که یک شی عضو اکتیودایرکتوری می باشد ، هکر را قادر می سازد که دسترسی ها را از SID دیگر حسابهای کاربری با دسترسی بالاتر (یا گروه ها) ، به ارث ببرد. ( به طوری که برای کابر هیچ ردی از اعضای گروه اضافی برجا نگذارد.)

با استفاده از یک SID می توان نشان داد که هکر در تلاش است تا عضویت گروهی با دسترسی بالا را پنهان کند به عنوان مثال گروهی مثل “Domain Admins” ، و یا در یک اکانت با دسترسی پایین تر یک post-exploitation domain backdoor را پنهان کند.

تنظیمات اشتباه در Active directory که امنیت ما را به خطر می اندازند

تنظیمات اشتباه در Active directory که امنیت ما را به خطر می اندازند

3* بلیط طلایی ، (Golden Ticket)

اگر یک هکر فایل long-term key را برای حساب “krbtgt” داشته باشد ، او می تواند بدون هیچ دسترسی عمل Log on را شبیه سازی کند . Ticket می تواند شامل یک Username جعلی به همراه عضویت در گروه Domain admin باشد.( یا دیگر عضویت هایی که هکر انتخاب می کند). هکر می تواند هر دسترسی را برای هر سرویس یا ماشینی در شبکه به دست آورده و آن را در هر جایی استفاده کند. این دسترسی ها می تواند تا زمانی که اکانت “krbtgt” ریست نشده است، برقرار باشند.

4* دارنده ی مالکیت غیرقانونی ، (Unprivileged Admin Holder ACL)

سوء استفاده از AdminSDHoder ACLs، مثل اضافه کردن یک کاربر، که فاقد دسترسی لازم است، به شی امنیتی AdminSDHolder به طوری که دسترسی full controlیا write به آن داده شود به کاربر فاقد دسترسی این قابلیت را می دهد که اکانت خود و یا سایر کاربران را به گروه های مهم همچون گروه Domain Admins بدون هیچ دسترسی بالا اضافه کند. ویرایش این ویژگی به هکر این اجازه را می دهد که بدون داشتن هیچ اکانتی دسترسی های ادمین بر روی DC را در اکتیودایرکتوری، مخفی کند.

5* شمارش برق کاربر (Power User Enumeration)

یوزرهایی که احراز هویت شده اند ، می توانند هر شی در دامین را در بر بگیرند. کاربرانی که رمزهای عبور آنها هرگز expire نمی شوند ،می توانند سرنخی باشند برای تشخیص کاربران با دسترسی بالا در دامین. این اختیارات به هکر اجازه می دهد تا برای همیشه دسترسی بالایی در شبکه داشته باشد.

6* بلیط نقره ای (Silver Ticket)

هر یوزر می تواند برای هر سرویسی در دامین بلیط های سرویس را درخواست کند. هنگامی که تیکت سرویس به وسیله long-term key مربوط به اکانت رمزنگاری می شود ، هکر می تواند تیکت های سرویس را جمع آوری کند و حملات بی قاعده ای بر روی Long-term key انجام دهد. این Attack ها به هکر اجازه می دهد که دسترسی کامل به ماشین ها در حال اجرا داشته باشد.

7* دامنه تکرار Backdoor یا (Domain Replication Backdoor)

اگر یک یوزر با سطح دسترسی پایین به دامین ثانویه اضافه شود آنگاه هکر قادر به دستیابی به تمام اطلاعات حساس دامین خواهد شد، به عنوان مثال دستیابی به اطلاعات Hash شده، مربوط به کاربران، بدون داشتن دسترسی بالا. به خاطر اینکه برخی از سرویس های دامین به قابلیت های دامین ثانویه نیاز دارند ، دسترسی های ثانویه باید به آبجکت های اکتیودایرکتوری اعمال شوند.
عدم رعایت این نکات منجر به دسترسی کامل هکر به دیتابیس های کاربران دامین خواهد شد و عواقب غیرقابل جبرانی در پیش دارد.

8* تراکنش مدیریت محلی (Local Admin Traversal)

از آنجایی که بیشتر شرکت ها از imaging software استفاده می کنند، اغلب در همه شرکت ها، رمز عبور Local Admin، یکسان است. یک هکر با سرقت گواهی های Local Admin از کامپیوتر های محلی در شبکه ، می تواند long-term key مربوط به Local Admin را جهت احراز هویت خود به یک ماشین دیگر بفرستد.
زمانی که یک هکر به گواهی های مربوط  روی یکی از ماشین ها به Local Admin دسترسی پیدا می کند ، او می تواند با استفاده از این پسورد به تمام ماشین های در شبکه دسترسی پیدا کند.

منبع:Geekboy.ir