יועץ אבטחת מידע   |   פברואר 17, 2025

השתלטות על הרשת בדקות: כך חולשה בת עשור אפשרה פריצה

סיסמת דומיין אדמין המפורסמת ב־GPP אפשרה לתוקפים להשתלט על רשתות ארגוניות במהירות.
מקרה לקוח מדגיש את הצורך החיוני בעדכון מערכות ובדיקות אבטחה תקופתיות.

מקרה לקוח: חולשה הקיימת יותר מעשור ב־Active Directory אפשרה השתלטות מלאה על הרשת הארגונית

כיצד שימוש שגוי במדיניות קבוצתית (GPP) הוביל לחשיפת סיסמת דומיין אדמין

במהלך מבדק חדירה פנימי לארגון, צוות אבטחת המידע שלנו זיהה חולשה חמורה בניהול סיסמאות בסביבת Active Directory. גילינו כי סיסמת דומיין אדמין מאוחסנת בקובץ Group Policy Preferences (GPP), מה שאפשר לבודקים שלנו לחשוף אותה בקלות. כתוצאה מכך, הצלחנו להשתלט על כל הרשת הארגונית בתוך דקות מספר.

אחסון סיסמאות ב־GPP, זה עוד קיים?

כיצד GPP מאפשר לתוקפים לשחזר סיסמאות בקלות

GPP הוא מנגנון המאפשר למנהלי מערכת להגדיר הגדרות שונות למשתמשים ולתחנות עבודה בתוך Active Directory, כולל יצירת חשבונות משתמשים, הגדרת הרשאות ואפילו הפצת סיסמאות.
בעבר, מיקרוסופט אפשרה שמירת סיסמאות מוצפנות בקובצי ה־XML של GPP, אך הסתבר כי ההצפנה מבוססת על מפתח קבוע וידוע.
מכיוון שמפתח ההצפנה פורסם על ידי מיקרוסופט (בטעות) עוד בשנת 2012, כל גורם בעל גישה לקריאת קובצי המדיניות הקבוצתית (כל משתמש בדומיין) יכול לפענח את הסיסמה בקלות ולהתחבר עם הרשאות גבוהות. אחסון סיסמאות באמצעות ה־GPP היה נפוץ בשנים אלו עד לזליגת מפתח ההצפנה.

ההשפעה: חשיפת סיסמת דומיין אדמין בתוך שניות

כיצד תוקף יכול לנצל את GPP כדי לגנוב סיסמאות מנהל מערכת

במהלך הבדיקה הבודקים שלנו אתרו קובץ Groups.xml בתוך SYSVOL, ספרייה המשותפת לכל מחשבי הדומיין שבה נשמרים קובצי ה־GPP. בתוך הקובץ מצאנו את ערך cpassword, המכיל סיסמה מוצפנת.
באמצעות כלי gpp-decrypt, הצלחנו בתוך שניות לפענח את הסיסמה – שלהפתעתנו הייתה סיסמת דומיין אדמין בארגון. לאחר מכן, השתמשנו בסיסמה זו לביצוע DCSync, פעולה המאפשרת שליפה של כל הסיסמאות השמורות בסביבת ה־Active Directory.

מקרה לקוח: ניצול חולשת GPP להשתלטות על הארגון, גם ב־2025

כיצד אחסון סיסמה במדיניות קבוצתית הוביל לשליטה מוחלטת על הדומיין

כיוון שרשת הלקוח שלנו כבר הייתה קיימת כמעט שני עשורים, חשדנו שייתכן שהיא פגיעה למתקפה זו. השימוש באחסון סיסמאות ב־GPP היה נפוץ בשנים עברו, וכל עוד לא התבצעה פעולה אקטיבית למחוק את הסיסמאות השמורות, החולשה נשארה שם.
ברגע שהצלחנו לשחזר את סיסמת דומיין אדמין, ניגשנו ישירות לביצוע DCSync, תהליך שבו אפשר למשוך את כל ה־NTDS.DIT – קובץ המכיל את כלל הסיסמאות של משתמשי הארגון.
במילים אחרות, הצלחנו להשיג גישה מלאה לכלל חשבונות המשתמשים והשרתים בארגון. תקיפה מסוג זה מעניקה לתוקף שליטה בלתי מוגבלת, ומאפשרת לו לגשת למידע רגיש, לשנות הרשאות, ואף למחוק או להצפין נתונים קריטיים.

תובנות ממומחי סייבר בכירים של IPV Security

כדי למנוע פגיעויות מסוג זה, אנו ממליצים לבצע את הפעולות האלה:

  1. הסרת סיסמאות המוגדרות ב־GPP – אין להשתמש ב־GPP לניהול סיסמאות, אלא לעדכן ולהסיר את כל הקבצים הכוללים cpassword.
  2. מעבר לפתרונות ניהול סיסמאות מאובטחים – במקום לאחסן סיסמאות בקובצי מערכת, מומלץ להשתמש במנגנוני ניהול סיסמאות מאובטחים כמו Microsoft LAPS או KeePass.
  3. הגבלת הרשאות חשבונות ניהוליים – להבטיח שחשבונות דומיין אדמין לא יאוחסנו או ינוהלו באמצעות מנגנונים לא מאובטחים.
  4. ביצוע בדיקות אבטחה תקופתיות – יש לוודא באופן שגרתי שאין מידע רגיש המאוחסן במדיניות הקבוצתית, וכי כל הסיסמאות מאוחסנות במקומות בטוחים.

לסיכום,

הפגיעות שהתגלתה מדגימה את הסכנה שבהסתמכות על GPP לניהול סיסמאות. כאשר סיסמאות דומיין מאוחסנות במדיניות קבוצתית, הן הופכות ליעד קל לתוקפים שיכולים לשלוף אותן ולבצע תקיפות הרסניות על הארגון. הפגיעות שהתגלתה מדגימה את חשיבות ביצוע מבדקי חדירה והכרה מעמיקה גם עם חולשות שכבר "לא באופנה" ומזמנים שאבטחת מידע לא הייתה בראש סדרי העדיפויות של ארגונים.

הרשת הארגונית שלכם הייתה קיימת ב־2012? ייתכן שאתם פגיעים למתקפה זו! בדיקות חדירה תקופתיות ומקיפות יסייעו לכם לזהות את חולשות הרשת ולחזק את אבטחת המידע שלכם באופן מיידי.

מעוניינים לבצע מבדקי חדירה תשתיתיים ואפליקטיביים? פנו למומחי איי פי וי סקיוריטי!

לחצו כאן

 

להתייעצות מקצועית ניתן לפנות אלינו לאימייל info@ipvsecurity.com או במספר הטלפון 077-4447130. IPV Security מתמחה זה 20 שנה באבטחת מידע, סייבר, סקרי סיכונים ותקנים ורגולציות הנוגעים לביטחון מידע ועוד.

חזור

פוסטים נוספים

    שם פרטי

    שם משפחה

    אימייל

    טלפון

    הודעה