יועץ אבטחת מידע   |   יולי 15, 2024

 מקרה לקוח: כיצד השתלטנו על רשת הארגון? 

שיתוף ממצאי סקר סיכונים: המרחק ממתן הרשאה מקומית להשתלטות עוינת על כל רשת הארגון.
גילוי חדש ומטריד: מתן הרשאות אדמין מקומיות לעובדים בארגון עלול 
להוביל לפריצה ולשליטה מלאה על כל הרשת!
קראו כיצד תוקפים מתוחכמים מנצלים פרצה זו, וכיצד אפשר להגן 
על הארגון מפני מתקפות דומות.

במסגרת סקר סיכונים שנערך לאחד מלקוחותינו, הצוות הטכני שלנו ביצע מבדק חדירה פנימי מקיף לארגון. מטרת המבדק הייתה לבדוק את רמת האבטחה של מערכות הארגון ולזהות פגיעויות פוטנציאליות בשטח התקיפה הפנימי. מה שגילינו הוא דוגמה מצוינת לסיכון בנתינת הרשאות מקומיות לעובדים בארגון.

ההתחלה: השתלטות על מחשב ברשת עם הרשאות אדמין מקומיות
בתחילת המבדק הפנימי, התחברנו באמצעות כבל רשת עם מחשב שלנו אל הרשת הארגונית של הלקוח ללא ידע מוקדם כלשהו. התחלנו להאזין לתעבורה העוברת ברשת. מפני שמדובר ברשת דומיינית המבוססת Active Directory, ישנם פרוטוקולים ישנים ופגיעים שעוברים ומבצעים את עבודתם ברשת כחלק מהפעילות השוטפת של משתמשי הארגון. ניצול פרוטקולים אלו אפשרי, גם באמצעות פעולות פשוטות כמו ניסיונות לגשת לתיקיות שאינן קיימות ברשת. תוקפים יכולים להפיק מכך פרטי התחברות של משתמשים העוברים ברשת.

השגת פרטי התחברות:
• במהלך המבדק הצלחנו ללכוד כמה פרטי התחברות מגובבים שהועברו ברשת. לאחר מכן, ביצענו ניסיון לפצח אותם באמצעות רשימת סיסמאות נפוצות.
• בתוך זמן קצר יחסית, הצלחנו לפצח את אחד מפרטי ההתחברות ולקבל גישה לחשבון משתמש דומייני פשוט ברשת הארגונית.

השתלטות על מחשבים:
מבדיקה זריזה של הרצת פקודה על כל התחנות בשם המשתמש שהשתלטנו עליו, גילינו כי לאותו משתמש יש הרשאות אדמיניסטרטיביות על המחשב האישי שלו ועל כמה מחשבים נוספים ברשת.
גילוי זה היה נקודת כניסה ראשונית עבורנו אל תוך הרשת הארגונית, ואפשר לנו להמשיך ולבצע פעולות הסתננות נוספות.

אלו בסה"כ הרשאות מקומיות, מה כבר יכול להשתבש?

ניצול הרשאות אדמין מקומיות לחשיפת סיסמאות:
כיוון שהמשתמש החזיק בהרשאות אדמין מקומיות, ביצענו Dump לקובץ ה־SAM) Security Account Manager)  בתחנה/במחשב. ה־SAM הוא רכיב במערכת ההפעלה Windows האחראי על ניהול ואבטחת המידע של חשבונות משתמשים, ומכיל שמות משתמש, סיסמאות מגובבות ופרטי אבטחה נוספים. חשוב לציין שפעולה זו עשויה לא להיחשב כזדונית על ידי רכיבי ה־EDR שמוטמעים על התחנות, אלא אם כן הוגדרו כראוי.

באמצעות Dump קובץ ה־SAM, הצלחנו לחשוף את כל הסיסמאות המגובות (NTLM Hash) של המשתמשים המקומיים באותה תחנה/במחשב, ובכלל זה הסיסמה של משתמש ה־Administrator המקומי.

מתקפת Pass the Hash
אף שהחזקנו בסיסמה המגובבת בלבד (NTLM Hash), לא היה צורך לפצח אותה כדי להמשיך את המתקפה. הסיבה לכך היא שאפשר להשתמש ב־NTLM Hash כדי להתחבר למערכת באמצעות מתקפת Pass the Hash  גם אם הסיסמה המקורית חזקה ומורכבת.
מתקפת Pass the Hash אפשרית מכיוון שמערכות ההפעלה Windows מאפשרות אימות משתמשים גם באמצעות NTLM Hash.

לכן, ביצענו מתקפה זו כדי לבדוק אם אותו משתמש מקומי קיים בעוד תחנות בארגון עם אותה הסיסמה. הרצנו סקריפט שניסה להתחבר לכל תחנות הרשת באמצעות שם המשתמש Administrator והסיסמה המגובבת שהייתה ברשותנו, ולא תאמינו מה גילינו!

התברר שאותו משתמש מקומי שהופיע בתחנה הראשונה, קיים בכל התחנות בארגון, אפילו על שרת ה־DC. שרת ה־DC אחראי על אימות זהות המשתמשים בדומיין, מתן הרשאות וגישה למשאבים שונים ברשת הארגונית. משמעות הדבר היא שמשתמש עם הרשאות אדמין מקומי על שרת ה־DC, יקבל באופן אוטומטי גם הרשאות של מנהל דומיין (Domain Admin). באמצעות הרשאות אלו תוקף יכול להשתלט לחלוטין על כל משאב ומחשב בדומיין ולגשת לנכסי המידע השמורים ברשת.

המשמעות והתוצאה
כיוון שכל משתמש בארגון קיבל הרשאות מקומיות על התחנה שלו, כל אחד מעובדי הארגון או תוקף שישתלט על אחד ממשתמשי או מחשבי הארגון יוכל לבצע תהליך דומה בעצמו ולהסלים את רמת ההרשאות של המשתמש שלו לרמת ההרשאות הגבוהה ביותר בדומיין – Domain Admin.

כיוון שכל משתמש בארגון קיבל הרשאות מקומיות על התחנה שלו, המשמעות של הרשאות אלו היא שבעקיפין אפשר לקבל הרשאת דומיין אדמין על הרשת כולה, ולקבל שליטה מלאה על כלל המשתמשים והרשאותיהם בארגון. פרצה זו מאפשרת לתוקף להשתלט על מערכות קריטיות ולבצע פעולות הרסניות ברשת הארגונית.

תובנות מומחי סייבר בכירים של IPV Security:

כדי למנוע תרחישים דומים ברשתות הארגון שלכם, אנו ממליצים לבצע את הפעולות הבאות.

  1. הגבלת הרשאות אדמין מקומיות: יש לצמצם את כמות המשתמשים בעלי הרשאות אדמין מקומי למינימום הנדרש בלבד, ומומלץ אף לבטל את השימוש במשתמש ברירת המחדל Administrator לאחר הקמת המחשב וצירופו לדומיין.
  2. שימוש בסיסמאות ייחודיות: לוודא שכל משתמש מקומי משתמש בסיסמאות ייחודיות ושונות זו מזו. ל־Microsoft יש פתרון ייעודי בייחוד בשביל זה הנקרא LAPS, ומטרתו לנהל ולשנות את הסיסמאות של מנהל המערכת המקומי על תחנות ה־Windows ברשת הארגון באופן אוטומטי ומאובטח.
  3. הקשחת תחנות עבודה: לבצע הקשחה של רכיבי ה־EDR על תחנות העבודה כך שקובץ ה־SAM לא יהיה נגיש למשתמשים מקומיים ותיווצר התרעה על ניסיונות לגשת אליו.
  4. מעקב אחר פעילות חשודה: להשתמש בכלי ניטור ובקרה לזיהוי פעילויות חשודות וחריגות בהרשאות המשתמשים, כמו שינוי הרשאות משתמש קיים ל־Domain Admin, או פתיחת משתמש חדש בהרשאות אלו.
  5. עדכון מדיניות אבטחת מידע: לנסח ולעדכן מדיניות אבטחת מידע ברורה ונוקשה, ובכללה נוהלי יצירת וניהול סיסמאות.
  6. בדיקות אבטחה תקופתיות: לבצע בדיקות חדירה ואבטחה תקופתיות לזיהוי ותיקון פרצות אבטחה במערכות הקיימות.

לסיכום,
הממצא שגילינו בבדיקת החדירה מדגים את הסכנות הכרוכות במתן הרשאות אדמין מקומי לעובדים בארגון ואת הצורך הקריטי ביישום בקרת גישה חזקה ומאובטחת. באמצעות נקיטת צעדים פרואקטיביים ויישום אמצעי האבטחה המתאימים, נוכל לצמצם את הסיכון לחשיפות מידע ולהבטיח את בטיחות המידע הארגוני. הקפדה על תהליכי אבטחת מידע קפדניים וביצוע בדיקות תקופתיות הם המפתח לשמירה על ביטחון המידע בארגון והגנה מפני פרצות אבטחה חמורות.

 

מעוניינים לבצע מבדק חדירה? פנו למומחי איי פי וי סקיוריטי!

לחצו כאן

 

לכל התייעצות בנוגע לאבטחת מידע ניתן לפנות לחברת IPV Security במייל info@ipvsecurity.com או במספר הטלפון 077-4447130. החברה מתמחה זה 20 שנה באבטחת מידע ועוסקת בסקרי סיכונים הנוגעים לביטחון מידע.

חזור

פוסטים נוספים

    שם פרטי

    שם משפחה

    אימייל

    טלפון

    הודעה