J3qx

information archive

Инсайдерская атака на Active Directory

Posted by j3qx на Сентябрь 2, 2012

Инсайдерская атака на Active Directory

В первую очередь хочу отказаться от любой ответственности за использование информации, изложенной в данной статье. Эта информация не является секретной, и получить ее может любой интересующийся пользователь Интернета. Тем не менее, я намеренно не стал раскрывать всех деталей.

Введение

В своей практике мне приходилось встречаться с разными ошибками системных администраторов. Практически все они были обусловлены недостаточным уровнем знаний об используемых системах и инструментах. Некоторые ошибки годами остаются незамеченными, некоторые обнаруживаются сразу. А некоторые обнаруживаются злоумышленниками (иногда даже используются). Некоторые ошибки являются практически безвредными, некоторые грозят длительными простоями и миллионными убытками.

Как следует из названия статьи, речь пойдет об ошибках планирования Active Directory, позволяющих осуществить атаку изнутри. Представим, что организация у нас крупная, распределенная географически, и все ее филиалы связаны между собой постоянными более-менее скоростными каналами. Самая типичная структура Active Directory в подобных организациях – лес из множества доменов. Корневой домен обычно находится в штаб-квартире, а каждый город, либо каждый филиал – это дочерний домен. Типичный вариант администрировани таких субдоменов – включение учетной записи местного администратора в группу Domain Admins. К чему это может привести, я сейчас расскажу. А вы пока удалите всех филиальных админов из групп Domain Admins. От греха подальше.

Содержимое

На дворе у нас финансовый кризис, предприятиям время от времени приходится экономить, и иногда случается, что сисадмин в филиале может оказаться лишним. Но вот сисадмин, получив уведомление об увольнении, может захотеть как следует напакостить. Причем не только своему филиалу, а всей компании. На память, так сказать… И, если он не склонен рефлексировать по поводу моральной и правовой сторон вопроса, возможностей у него предостаточно.

Перейдем к конкретике. У себя дома я смоделировал лес из двух доменов – contoso.local и evil.contoso.local. Контроллеров доменов два: dc1.contoso.localdc2.evil.contoso.local. Версия Windows – 2008 R2 на обоих. Теперь посмотрим, какие возможности имеются у администратора домена EVIL.

Запустим интерпретатор cmd.exe в контексте Local System на контроллере DC2. С его помощью будем запускать всё остальное. Как запустить cmd.exe? Как хотите. Это квест :)

Попробуем теперь чего-нибудь поменять в каталоге.

Назначим всем права на раздел Configuration

После этого можно сделать одну штуку, после которой какое-то время будет (почти) невозможно залогиниться ни в один домен леса. Догадайтесь, какую. Это второй квест :)

Ну, про Exchange Server, Office Communications Server, и другие продукты, хранящие настройки в данном разделе AD, я даже говорить не буду.

Дальше воспользуемся утилитой ntdsutil. У нас легко получается перенести на свой контроллер роли Domain Naming Master и Schema Master (!!!)

Как это можно использовать? Можно назначить всем права на схему…

Затем уже от имени юзера можно создать свой собственный класс…

Можно вообще изменить схему, напрочь ее испортив (а стало быть, приведя весь лес в нерабочее состояние). Как? Как хотите. Это третий квест.

Всё перечисленное – вовсе не полный список возможностей, открывающихся перед обиженным админом. Можно произвести и более тонкие модификации, отлавливать которые будет очень трудно и долго.

Заключение

Лично мне кажется, что подобный коллапс очень маловероятен. Редко специалисты такого уровня работают в филиалах. Плюс их очень редко увольняют. И еще – они обычно не игнорируют моральную и правовую стороны таких прощальных жестов. Но раз в год и палка стреляет. К тому же злобный хакер, попавший в сеанс админа, тоже может провернуть нечто подобное.

Постскриптум

Напоследок повторю изъезженную фразу еще раз – никогда и никому не давайте прав администратора домена! Ни в одном домене подконтрольного вам леса. Только делегирование и только там, где это действительно нужно.

И еще, используйте встроенные группы безопасности только в том случае, если вы абсолютно точно знаете, что делаете. Например, имея права Backup Operator на любом контроллере домена в лесу, можно провести идентичную атаку.

 

© http://kb.atraining.ru/active-directory-insider-attack/

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

 
%d такие блоггеры, как: