Ochrona serwera przed przejęciem

Jednym ze skutecznych ataków przeciw domenie Windows jest "przekazanie skrótu". Przedstawiamy zarówno sam atak, jak i metody obrony przed nim.

Atak ten jest znany od lat. Wykorzystuje on fakt, że generowany skrót kryptograficzny hasła zostaje porównany w podsystemie uwierzytelnienia, zatem jeśli uda się pozyskać skrót z przejętego systemu, można dokonać elewacji uprawnień. Atak ten jest najprostszym ze sposobów pozyskania uprawnień administratora domeny, bazując jedynie na uprawnieniu resetowania hasła do maszyny lokalnej. Mechanizm ataku zakłada odtworzenie przechowywanych lokalnie skrótów hasła administratora domeny przy wykorzystaniu uprawnień administratora lokalnej maszyny, będącej członkiem domeny (są to dwa różne konta, jedno jest zarządzane przez domenę , drugie jest zapisane w lokalnej bazie SAM i odpowiada za uwierzytelnienie tylko do tej jednej maszyny).

Obrona przed atakiem może odbywać się na kilka sposobów - np. przez zastosowanie restrykcji w nadawaniu uprawnień administratorom lub przez skorzystanie z opcji dwuskładnikowego uwierzytelnienia w Windows 2008R2, wykorzystującego karty inteligentne.

Karta jest kluczem do świata adminów

W systemie Windows Server 2008R2 wprowadzono mechanizm, który umożliwia dynamiczne przypisywanie użytkowników do grup, zależnie od sposobu, w jaki zalogowali się do systemu. Wymaga on wdrożenia kart inteligentnych, których wzorce zostają przypisane do dynamicznej grupy. Po zalogowaniu z użyciem takiej karty użytkownik może stać się członkiem tej grupy - do czasu wylogowania.

Należy przygotować trzy wzorce kart inteligentnych: dla administratorów stacji klienckich, administratorów serwerów oraz administratorów domeny. Dla wzorców należy przygotować założenia polityki, które zapewnią przydzielenie uprawnień tylko dla wybranych użytkowników, a następnie przypisać je do właściwych grup. Aby zalogować się z uprawnieniami administratora domeny, niezbędna jest właściwa karta, więc nawet jeśli włamywacz pozyska skrót kryptograficzny hasła, nie będzie mógł go użyć do elewacji uprawnień i uzyskania dostępu do innych zasobów sieci. Przy próbie przekazania skrótu bez obecności właściwej karty w systemie odpowiedni SID nie zostanie wstrzyknięty do nowej sesji powłoki. Ograniczając członkostwo grupy administratorów tylko do logowania za pomocą kart, blokuje się atak.

Dodatkową zaletą jest możliwość codziennej bez konieczności pamiętania wielu haseł - wystarczy włożyć kartę administratora domeny przy logowaniu, by pracować na niezbędnym poziomie uprawnień. Po wylogowaniu, wyjęciu karty i ponownym zalogowaniu, ten sam login i hasło nie oferuje już tak wysokich uprawnień.

Inne sposoby ochrony

Jeśli nie można zaktualizować domeny do Windows 2008R2 (np. ze względu na zgodność stosowanego oprogramowania lub koszty licencji), należy przestrzegać następujących reguł:

- nie nadawać użytkownikom uprawnień administratora lokalnego;

- używać uprawnień administratora domeny tylko na maszynach, które zawierają rolę kontrolera domeny. Do pozostałych maszyn korzystać z delegacji uprawnień do lokalnego konta administratora;

- nie nadawać początkującym administratorom uprawnień systemowych do serwera, korzystać z delegowania uprawnień do niezbędnych zadań;

- opracować i zastosować listę dozwolonego oprogramowania i wdrożyć ją w firmie. Ograniczenia z poziomu domeny uniemożliwią uruchomienie obcych narzędzi w Windows;

- wyłączyć logowanie do stacji roboczych bez obecności kontrolera domeny;

- nigdy nie nadawać uprawnień administratora domeny do kont usługowych. Gdy usługa łączy się z innymi maszynami, zostawia skrót praktycznie wszędzie. Jest to poważny błąd;

- Włączyć i przeglądać audyt korzystania z uprawnień systemowych na wszystkich maszynach. Wdrożyć narzędzia, które gromadzą zdarzenia z różnych źródeł, a następnie analizują je.

Demonstracja ataku

Do działań niezbędny jest serwer dołączony do domeny oraz oprogramowanie lslsass oraz Runhash firmy Truesec. Następnie należy:

1. Zalogować się do serwera jako administrator lokalny.

2. Poczekać na zalogowanie i wylogowanie administratora domeny.

3. Po zalogowaniu lokalnego administratora pozyskuje się skróty przy pomocy lslsass64.exe z opcją dump.

4. Pozyskany skrót należy przekazać do serwera uwierzytelnienia domeny za pomocą runhash64.exe, co spowoduje otwarcie nowego okna wiersza poleceń.

5. Powłoka tego okna pracuje w kontekście administratora domeny, gdyż została uwierzytelniona za pomocą kradzionego skrótu, dlatego wszystkie polecenia wydane w tym oknie będą wykonane na poziomie uprawnień administratora domeny. Zatem można uruchomić mmc i zarządzać kontami domeny.

6. Można zainstalować dowolne oprogramowanie, przy czym intruz nigdy nie poznał hasła administratora, a jedynie pozyskał jego skrót.

Ten sam mechanizm można łatwo usprawnić, resetując hasło administratora na maszynie, która posłuży do późniejszego przejęcia kontroli nad domeną. Operację tę można wykonać offline, wyłączając serwer i manipulując bazą SAM za pomocą narzędzi, takich jak ntpass czy chntpw.


TOP 200