Embed Size (px)
Citation preview
bluebridge.lt | 2018-05-10
Saugumas „Microsoft Active Directory“
aplinkoje
KĘSTUTIS MEŠKONIS
Vyr. sistemų inžinierius-konsultantas
Negalime būti tikri dėl saugumo produkto kokybės
Fake Security
2Nuotraukos: www.fakesecurity.com
• 90% pelningiausių 1000 kompanijų
naudoja AD (2014)
• Lietuvoje beveik visi
• AD pirmas APT taikinys po
nusileidimo
AD jungtuvės
3bluebridge.lt
• Slaptažodžiai saugomi silpname NTLM hash formate
• PTH – Pass-the-hash ataka
• RDP sesijų užgrobimas
• Slaptažodžių saugojimas atviru tekstu atmintyje (a.k.a Mimikatz)
• Silpna slaptažodžių politika
• Kiti
Nuo versijos nepriklausomi AD trūkumai
AD nesaugi pagal nutylėjimą!
4bluebridge.lt
• Katalogų tarnyba (LDAP)
• Centralizuotas resursų valdymas***
• Centralizuotas saugumo valdymas
• Centralizuotas autentifikavimas
• PKI – (sertifikatas vs. slaptažodis?)
• SSO
Kas yra AD – Active Directory
5bluebridge.lt
AD
kompiuteriai
serveriai
vartotojai
aplikacijos
• VPN prieiga
• WiFi prieiga
• Saugumo/tinklo įrangos administravimas
• Intranetai/Ekstranetai
• MSSQL
• Klientų valdymo/finansų sistemos (CRM/Navision)
• E-paštas (Exchange/Zimbra/OWA)
• Komunikacija (Lync, Skype4Business, Teams)
• Slaptažodžių spintos
SSO – Single Sign On problematika
6bluebridge.lt
Horizontalusis judėjimas
7bluebridge.lt
NE AD (tinkloskenavimai)
AD žvalgyba
• Lėtas (žingsnis po žingsnio)
• Triukšmingas (skenavimai, exploit’ai)
• Sunkus (segmentavimas, atnaujinimai, 0-day)
• Pasipriešinimas (NGFW, IPS, atnaujinimai, anti-exploit, WAF)
Horizontalusis judėjimas
8bluebridge.lt
NE AD (tinkloskenavimai)
Horizontalusis judėjimas
9bluebridge.lt
• Informacijos lobynas (įskaitant asmens duomenis)
• Greitas užvaldymas
• Plataus masto užvaldymas
• Aukštomis teisėmis užvaldymas
• Ilgalaikis įsitvirtinimas
• Nematomas
AD žvalgyba
10
Privilegijų eskalavimo schema AD aplinkoje
bluebridge.lt
Domeno administratorius
Lokalus administratorius
Domenovartotojas
Jokių
11
Žaidimo pabaiga audito metu
bluebridge.lt
12
“Žaidimo pabaiga” (aut. ransomware)
bluebridge.lt
13
“Žaidimo pabaiga” (aut. ransomworm)
bluebridge.lt
• DOMAIN ADMINS
• ENTERPISE ADMINS
• SERVER ADMINS
• BACKUP ADMINS
• Kitos privilegijuotos grupės
Ne tik Domeno Administratoriai svarbūs
14bluebridge.lt
15bluebridge.lt
Dažniausios klaidos, lemiančios AD užvaldymą
“Valytojos scenarijus”
“Atakuotojas internete”
Privilegijų eskalavimo schema
16bluebridge.lt
Jokių
17bluebridge.lt
Nr. 0 Spear-Phishing
18
Slaptažodžių žvejyba
bluebridge.lt
• E-pašto techninės kontrolė: DMARC
• “Išorinis” laiškas
• Iškirpti “href=” nuorodas iš laiškų ir dokumentų turinio
• Blokuoti web kreipinius į neklasifikuotus domenus
• Nuolatinės vidinės „phishing“ treniruotės darbuotojams
• Budrumo programa organizacijoje (įskiepis į pašto klientus)
Rekomendacijos
Slaptažodžių žvejyba
19bluebridge.lt
20bluebridge.lt
Nr. 1 Nepašalintipažeidžiamumai domeno
mašinose
MS-17-010 MS-17-010 MS-17-010
21bluebridge.lt
MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010
22
MS-17-010 MS-17-010 MS-17-010
bluebridge.lt
• Įdiegti atnaujinimą KB-4013389
• Išjungti SMBv1 palaikymą domeno mastu
• Naudoti SMB Signing domeno mastu
• Blokuoti SMB tarnybų pasiekiamumą lokalių ugniasienių pagalba KDV, debesų kompiuteriuose
• Išimtys “mažiausių privilegijų” principu
Rekomendacijos
MS-17-010 MS-17-010 MS-17-010
23bluebridge.lt
24bluebridge.lt
Nr. 2 Silpna AD slaptažodžių politika
MAXIMUM PASSWORD AGE
PASSWORD NEVER EXPIRES (“ATGALINĖS DURYS!”)
Kur dažniausiai naudojama:
• Domeno administratoriai
• Domeno vartotojų išimtys
Galiojimas
Slaptažodžių politika
25bluebridge.lt
MINIMUM PASSWORD LENGTH
8? (nuo 40 iki 65% procentų slaptažodžių parenkama)
12? (vidutinis žodyno pagalba parinkto slaptažodžio ilgis ~12,4 simbolio)
16?
ILGIS ar KOMPLEKSIŠKUMAS?
Ilgėjant slaptažodžiui, greičiau didėja jo entropija (ilgėja nulaužimo laikas)!
Ilgis
Slaptažodžių politika
26bluebridge.lt
PASSWORDS MUST MEET COMPLEXITY REQUIREMENTS
• Ar vartotojo vardas sutampa su slaptažodžiu?
• “The password contains characters from three of
the following categories”
Slaptažodis:: password
Slaptažodis:: Password
Slaptažodis:: Password1
Slaptažodis:: Password2
Slaptažodis:: Password3 (sėkmingai parinktas!)
Rekomendacijos:
• griežtinti politiką (ypač ilgį, ne kompleksiškumą)
• mokyti naudotojus
• audituoti
Kompleksiškumas
Slaptažodžių politika
27bluebridge.lt
Slaptažodis:: pasibaigesslaptazodis
Slaptažodis:: betkoKsnaujas1
Slaptažodis:: darkaZinkoks2
Slaptažodis:: treciasSnaujas3
Slaptažodis:: 4asnaujaspwd4
Slaptažodis:: Pas&swor55d5
Slaptažodis:: pasibaigesslaptazodis
ENFORCE PASSWORD HISTORY
Rotavimas
Slaptažodis:: Password100
Slaptažodis:: Password101
Slaptažodis:: Password102
Slaptažodis:: Password103
Slaptažodis:: Password99
Slaptažodis:: Password98
MINIMUM PASSWORD AGE - Išjungtas pagal
nutylėjimą!!!
28
Slaptažodžių politika
bluebridge.lt
ACCOUNT LOCKOUT THRESHOLD (kiek galima suklysti 5-10 bandymų)
RESET ACCOUNT LOCKOUT COUNTER AFTER (stebėjimo langas 30 min)
ACCOUNT LOCKOUT DURATION (automatinis atsiblokavimas 30 min)
Apėjimas: “Password Spraying” a.k.a. “gentle bruteforce”
Paskyrų auto-blokavimas
Slaptažodžių politika
29bluebridge.lt
• “Account lockout duration=0”
• “Reset account lockout counter after=0”
• ”Account lockout threshold=5-10”
• Slaptažodžių atstatymui naudoti “Help Desk” su papildomu identifikavimu arba “Self Password
Recovery” sprendimus
• SIEM pagalba stebėti sėkmingus ir nesėkmingus prisijungimus ir “password spray” atakas
Rekomendacijos
Slaptažodžių politika
30bluebridge.lt
31bluebridge.lt
Nr. 3 Netaikoma/skirtinga AD slaptažodžių politika
• TOP-25
• Žodynas
• Brutuali jėga
Slaptažodžių atakos
Netaikoma, skirtinga AD slaptažodžių politika
32bluebridge.lt
33bluebridge.lt
Nr. 4 Tinklo katalogai su jautria informacija
Teisės:
• “Read”!!!
Grupės:
• “Authenticated Users”
• “Everyone”
Blogai sukonfigūruota katalogų prieiga
Tinklo katalogai su jautria informacija
34bluebridge.lt
• passwords.txt (???)
• IS schemos, dokumentacija (ir slaptažodžiai viduje!!!)
• Išeities kodai (ir slaptažodžiai viduje!!!)
• Log bylos (ir slaptažodžiai viduje!!!)
• Asmens duomenys (GDPR pažeidimas!!!)
• Kažkas dar neatrasta (ir slaptažodžiai viduje!!!)
Atradimai tinklo kataloguose
Tinklo katalogai su jautria informacija
35bluebridge.lt
Teisės:
• “Write”
• “Full Control”
Grupės:
• “Authenticated Users”
• “Everyone”
Blogai sukonfigūruota katalogų prieiga
Tinklo katalogai su jautria informacija
36bluebridge.lt
• Jokių tinklo katalogų darbo vietose - tik serveriuose
• Katalogų teisės ”mažiausių privilegijų” principu
• Centralizuotas bylų dalinimosi sprendimas (owncloud, sharepoint ir kt.)
• Schemos ir dokumentacijos tik valdymo segmente, valdymo mašinose ir šifruotos NE AD
priemonėmis
• Development, testinės ir gamybinės aplinkos atskirtos nuo tinklo segmentavimo iki AD
• Debug informaciją išvesti į atskirą serverį, kuris sunaikinamas, kai nebereikalingas (reikalingas
procesas)
Rekomendacijos
Tinklo katalogai su jautria informacija
37bluebridge.lt
38bluebridge.lt
Nr. 5 LLMNR ir NBT-NS užklausų nuodijimas
Atakos schema
LLMNR ir NBT-NS užklausų nuodijimas
39bluebridge.lt
• SMB-Relay – atakos variacija PTH ir “žmogus viduryje” stiliumi
Perimtos NTLM challenge/response HASH reikšmės
LLMNR ir NBT-NS užklausų nuodijimas
40bluebridge.lt
• Išjunkite LLMNR ir NBT-NS protokolus domeno mastu
• SMB signing įjunkite domeno mastu
• Naudokite stiprią slaptažodžių politiką
• Nedirbkite domeno ir lokalių administratorių teisėmis
• Izoliuokite kompiuterines darbo vietas vieną nuo kitos (bendrinė L2 atakų apsauga, prieš ARP
nuodijimą, VLAN šokinėjimą ir kt.)
Rekomendacijos
LLMNR ir NBT-NS užklausų nuodijimas
41bluebridge.lt
KLIENTŲ IZOLIACIJA: STOP L2 ATAKOMS!
LLMNR ir NBT-NS užklausų nuodijimas
42
43bluebridge.lt
Nr. 6 Wi-Fi su PEAP
Atakos schema
Wi-Fi su PEAP
44bluebridge.lt
Perimtos NTLM challenge/response HASH reikšmės
Wi-Fi su PEAP
45bluebridge.lt
• Wi-Fi klientų autentifikavimui naudokite klientų sertifikatus (EAP-TLS)
• Naudokite stiprią slaptažodžių politiką (PEAP atveju)
• Uždrauskite GPO pagalba „Ad-Hoc“ sujungimus
• GPO pagalba kontroliuokite leidžiamų prisijungti SSID sąrašą
PASTABA: Nepamirškite sertifikatas galioja ilgiau nei slaptažodis!!!
AD rekomendacijos
Wi-Fi su PEAP
46bluebridge.lt
• Naudokite Wi-Fi klientų izoliaciją
• Apsaugokite Wi-Fi administravimo prieigą (MFA, segmentacija)
• Apsaugokite sertifikatų ir privačių raktų eksportavimą atskiru slaptažodžiu
• „FAST Reconnect“ Wi-Fi nustatymas
PASTABA: Atsargiai su visiškai savarankišku vartotojų „self-provisioning“!!!
Bendras Wi-Fi saugumo lygis = Sertifikatai + AD kredencialai = AD kredencialai
Wi-Fi rekomendacijos
Wi-Fi su PEAP
47bluebridge.lt
“Organizacijos darbuotojo scenarijus”
“Išorinio atakuotojo scenarijus”
Privilegijų eskalavimo schema
48bluebridge.lt
Jokių
Domenovartotojas
49bluebridge.lt
Nr. 7 Slaptažodžiai skriptuose
• LogOn/LogOff skriptai
• *.vbs
• *.ps1
• Konfigūracijos bylos
• Windows registrai
• Komentarai
Kur ieškoti?
Slaptažodžiai skriptuose
50bluebridge.lt
51bluebridge.lt
Nr. 8 Domeno vartotojai turi aukštesnes teises
• Domeno administratorius
• Lokalus administratorius
• Deleguotų privilegijuotų grupių teisės
• SSO
Teisės
Domeno vartotojai turi aukštesnes teises
52bluebridge.lt
Rekomendacijos
• Administravimui ir kasdienėms veikloms naudokite skirtingas paskyras
• Paskyrų vardai neturėtų identifikuoti administratorių, idealiu atveju naudotojų
• Teises suteikite vartotojui, ne grupei (pamenate mažiausių privilegijų principas)
• SSO atveju naudokite 2FA kitų sistemų administravimui (VPN, ugniasienės ir t.t.)
53bluebridge.lt
Nr. 9 GPP Passwords –slaptažodžiai grupių politikų
nuostatose
Rekomendacijos:
• MS14-025 atnaujinimas pašalina šią galimybę
• Po atnaujinimo įdiegimo senus įrašus būtina pašalinti!!!
“findstr /S cpassword \\DC\sysvol\*.xml”
GPP – Group policy preferences
54bluebridge.lt
55bluebridge.lt
Nr. 10 Lokalūs pažeidžiamumai
• Windows pažeidžiamumai (SYSTEM)
• Microsoft ir trečių šalių pažeidžiamumai (SYSTEM)
• Konfigūracijos klaidos (SYSTEM)
Rekomendacijos
• Prioritetizuoti atnaujinimus
• Sistemų stiprinimas
• AV
Lokalūs pažeidžiamumai
56bluebridge.lt
Privilegijų eskalavimo schema
57bluebridge.lt
Jokių
Domenovartotojas
Lokalus administratorius
58bluebridge.lt
Nr. 11 Vienodas lokalaus administratoriaus slaptažodis
Populiariausia horizontalaus judėjimo technika!
Vienodas lokalaus administratoriaus slaptažodis
59bluebridge.lt
Prisijungimas:
• Atviru slaptažodžiu
• HASH reikšme (PTH ataka)
Rekomendacijos:
• Nemokamas MS LAPS lokalių slaptažodžių valdymui
• Komerciniai slaptažodžių valdymo sprendimai (CyberArk, Thycotic, kiti)
LOCALADMIN
Vienodas lokalaus administratoriaus slaptažodis
60bluebridge.lt
61bluebridge.lt
Nr. 12 Slaptažodžių pernaudojimas
sauliusk – $7r0ngP455w0rd <- domeno vartotojas
sauliusk_adm - ????????? <- domeno administratorius
Rekomendacijos:
• AD priemonės neleidžia kontroliuoti vienodų slaptažodžių (būtų pažeidžiamumas)
• Naudokite skirtingus slaptažodžius skirtingiems vartotojams
• Audituokite slaptažodžius (ieškokite vienodų NTLM HASH reikšmių)
• Pasitikėkite technologijomis, ne žmonių asmenine atsakomybe
62bluebridge.lt
Slaptažodžių pernaudojimas
63bluebridge.lt
Nr. 13 Domeno administratorių medžioklė
• AD mums pasakys, kur ir kokie administratoriai prisijungę!
Atakos:
• Mimikatz ataka
• RDP sesijos perėmimas
• Token žymų manipuliavimas
Rekomendacijos:
• Išjunkite prisijungimo duomenų kešavimą
• CyberArk Endpoint Credential Manager
• Stebėkite SIEM pagalba AD
Pagrindiniai būdai
Domeno administratorių medžioklė
64bluebridge.lt
• DMARC
• Sustiprinkite AD slaptažodžių politiką
• MS-17-010 atsikratykite pažeidžiamumo
• Išjunkite LLMNR ir NBT-NS
• Revizuokite administratorių ir privilegijuotų vartotojų sąrašus
• Išjunkite SMBv1
• Įsidiekite MS LAPS serveriams ir KDV
• Stebėkite AD įvykius centralizuotai
• Mažiausiai dukart metuose keiskite KRBTGT vartotojo slaptažodį
• Išjunkite POWERSHELL (esant galimybei)
Rekomendacijos
Kai grįšite į ofisą … AD TO DO LIST
65bluebridge.lt
Ačiū už dėmesį
66bluebridge.lt
