اشتباه های امنیتی در اکتیو دایرکتوری

۱٫ Group Policy Preferences Visible Passwords
تنظیمات Group Policy به ادمین اجازه می دهد تا هنگامی که یک کاربر عمل Login را انجام می دهد به واسطه Credential های تعیین شده ، حساب های کاربری Local Admin را تنظیم کند ، Task ها را زمانبندی کند و شبکه را راه اندازی کند.
GPPs برای SYSVOL مربوط به Domain Controler ها نوشته شده است. یک هکر می تواند به فایل های GPP xml داخل SYSVOL share دسترسی پیدا کند و Credential های تعیین شده ایی که در GPP قرار دارند را استخراج کند.
تهدیدات احتمالی که ممکن است به دلیل تنظیمات اشتباه در Group Policy ، رخ دهند :
“هکر می تواند دسترسی های مشابه ، دسترسی حساب های کاربری که از GPP استخراج کرده است ، را به دست آورد.”
نکته: حساب های کاربری که برای ایجاد GPPs استفاده می شوند معمولا دسترسی Local Admin را برای هر ماشین دارند.

۲٫ Hidden Security Identifier (SID)
سوء استفاده از SID History یک شی عضو اکتیودایرکتوری ، هکر را قادر می سازد که دسترسی ها را از SID دیگر حساب های کاربری ، با دسترسی بالاتر (یا گروه ها) ، به ارث ببرد( به طوری که برای کابر هیچ ردی از اعضای گروه اضافی برجا نگذارد.)
با استفاده از یک SID می توان نشان داد که هکر در تلاش است تا عضویت گروهی با دسترسی بالا را پنهان کند به عنوان مثال گروهی مثل “Domain Admins” ، و یا در یک اکانت با دسترسی پایین تر یک post-exploitation domain backdoor را پنهان کند.

۳٫ Golden Ticket
اگر یک هکر فایل long-term key را برای حساب “krbtgt” داشته باشد ، او می تواند بدون هیچ دسترسی عمل Log on را شبیه سازی کند . Ticket می تواند شامل یک Username جعلی به همراه عضویت در گروه Domain admin باشد.( یا دیگر عضویت هایی که هکر انتخاب می کند).
هکر می تواند هر دسترسی را برای هر سرویس یا ماشینی در شبکه به دست آورده و آن را در هر جایی استفاده کند. این دسترسی ها می تواند تا زمانی که اکانت “krbtgt” ریست نشده است، برقرار باشند.

۴٫ Domain Replication Backdoor
اگر یک یوزر با سطح دسترسی پایین به دامین ثانویه اضافه شود آنگاه هکر قادر به دستیابی به تمام اطلاعات حساس دامین خواهد شد.- به عنوان مثال دستیابی به اطلاعات Hash شده، مربوط به کاربران، بدون داشتن دسترسی بالا-.به خاطر اینکه برخی از سرویس های دامین به قابلیت های دامین ثانویه نیاز دارند ، دسترسی های ثانویه باید به آبجکت های اکتیودایرکتوری اعمال شوند.
عدم رعایت این نکات منجر به دسترسی کامل هکر به دیتابیس های کاربران دامین می شود

۵٫ Unprivileged Admin Holder ACL
سوء استفاده از AdminSDHoder ACLs – همانند اضافه کردن یک کاربر، که فاقد دسترسی لازم است، به شی امنیتی AdminSDHolder به طوری که دسترسی full controlیا write به آن داده شود به کاربر فاقد دسترسی این قابلیت را می دهد که اکانت خود و یا سایر کاربران را به گروه های مهم همچون گروه Domain Admins بدون هیچ دسترسی بالا اضافه کند.
فعال سازی و ویرایش این ویژگی به هکر اجازه می دهد که دسترسی های ادمین بر روی DC را بدون داشتن هیچ اکانتی در اکتیودایرکتوری، مخفی کند.

۶٫ Power User Enumeration
یوزرهایی که احراز هویت شده اند ، می توانند هر شی در دامین را در بر بگیرند. کاربرانی که رمزهای عبور آنها هرگز expire نمی شوند ،می توانند سرنخی باشند برای تشخیص کاربران با دسترسی بالا در دامین.
این اختیارات به یک هکر اجازه خواهد داد تا دسترسی بالایی برای همیشه در شبکه داشته باشد

۷٫ Silver Ticket
یک یوزر می تواند برای هر سرویسی در دامین تیکت های سرویس را درخواست کند. …
یک یوزر می تواند برای هر سرویسی در دامین تیکت های سرویس را درخواست کند. هنگامی تیکت سرویس به وسیله long-term key مربوط به اکانت رمزنگاری می شود ، هکر می تواند تیکت های سرویس را جمع آوری کند و حملات بی قاعده ای بر روی Long-term key انجام دهد.این Attack ها به هکر اجازه می دهد که دسترسی کامل به ماشین ها در حال اجرا داشته باشد.

۸٫ Anonymous LDAP Allowed
دیوایس های مدیریت نشده می توانند از اکتیودایرکتوری پرس و جو کنند و اطلاعات دامین را بدون احراز هویت جمع آوری کنند
هکرها می توانند از یک کاربر یا کامپیوتری که احراز هویت نشده و همچنین از طریق یک اتصال شبکه ، ساختار کامل دایرکتوری و دسترسی ها را ببینند

۹٫ DSRM Login Enabled
DSRM یک حالت بوت مخصوص است وهنگامی که سرویس های دایرکتوری Down می شوند برای بازسازی و ریکاوری اکتیودایرکتوری مورد استفاده قرار می گیرد. فعال سازی و ویرایش این ویژگی به هکر اجازه می دهد که دسترسی های ادمین را به وسیله یک backdoor روی DC ، بدون هیچ اکانتی از دامین ، پنهان کند و در نتیجه هکر کنترل و دسترسی کامل به اجزای Domain Control را داشته باشد.

۱۰٫ Local Admin Traversal
از آنجا که بیشتر شرکت ها از imaging software استفاده می کنند،رمز عبور Local Admin اغلب در همه شرکت ها یکسان است . یک هکر با سرقت گواهی های Local Admin از کامپیوتر های محلی در شبکه ، می تواند long-term key مربوط به Local Admin را جهت احراز هویت خود به یک ماشین دیگر بفرستد.
هنگامی که یک هکر به گواهی های مربوط به Local Admin روی یکی از ماشین ها دسترسی پیدا می کند ، او می تواند با استفاده از این پسورد به تمام ماشین های در شبکه دسترسی پیدا کند.

 

 

 

0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
Feel free to contribute!

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *