Cosa succederà dopo che un account di dominio Windows è stato compromesso?

14

Ci stiamo preparando per uno scenario in cui uno degli account in un dominio viene compromesso: cosa fare dopo?

Disabilitare l'account sarebbe la mia prima risposta, ma abbiamo avuto pentesteri qui poche settimane fa e sono stati in grado di utilizzare gli accessi hash di un utente amministratore che è partito un paio di mesi fa.

Le nostre due risposte finora sono:

  1. Elimina l'account e ricrealo (crea un nuovo SID ma anche più dramma per l'utente e lavora per noi)
  2. Cambia la password almeno 3 volte e disabilita l'account

Quale sarebbe il tuo metodo o cosa consiglieresti?

active-directory  security 
JurajB
fonte
1
Se si tratta di un account amministratore che è stato compromesso, procedere con la creazione di altri account amministratore per i propri scopi. Se si tratta di un account con privilegi limitati (utente normale), esegui scansioni della rete e vai a trovare un account amministratore per scendere a compromessi. Possedere un utente normale porta il piede nella porta per eseguire attacchi più "mirati".
luglio
4
Stai dicendo che l'account dell'utente amministratore che ha lasciato un paio di mesi fa non è stato disabilitato alla partenza di quella persona? Immagino di non vedere come quell'esempio parli dell'efficacia o dell'inefficacia della disabilitazione degli account. Qual è la logica per cambiare la password 3 volte anziché una volta?
Todd Wilcox,
@ToddWilcox l'account è stato disabilitato proprio quando la persona è partita e i gruppi sono stati rimossi (questa è una pratica standard quando le persone se ne vanno), ma hanno affermato di essere in grado di ottenere l'accesso tramite esso.
JurajB,
Quindi non è stato rimosso correttamente - vuoi che i token siano scaduti e l'accesso per quell'account sia rimosso su tutti i sistemi
Rory Alsop

Risposte:

8

Se viene compromesso solo un account utente standard, cambiare una volta la password e lasciare l'account abilitato dovrebbe andare bene. Un hash non funzionerà dopo aver modificato la password. Inoltre non funzionerà se l'account è disabilitato. Come pen-tester me stesso, mi chiedo se i pen-tester stessero usando i biglietti Kerberos. In determinate circostanze, questi possono continuare a funzionare se una password viene modificata o se un account viene disabilitato O addirittura cancellato (vedere i collegamenti per l'attenuazione).

Se un account amministratore di dominio è stato compromesso, è letteralmente finito il gioco. Devi portare il tuo dominio offline e cambiare OGNI password. Anche la password dell'account krbtgt dovrebbe essere cambiata due volte, altrimenti gli aggressori saranno comunque in grado di emettere biglietti Kerberos validi con le informazioni che hanno rubato. Una volta fatto tutto ciò, puoi riportare il tuo dominio online.

Implementare un criterio di blocco dell'account, in modo che non sia possibile indovinare le password modificate. Non rinominare i tuoi account. Gli aggressori possono facilmente scoprire i nomi di accesso.

Un altro punto importante è formare i tuoi utenti. Probabilmente hanno fatto qualcosa di poco saggio che ha significato compromettere l'account. L'autore dell'attacco potrebbe non conoscere nemmeno la password, potrebbe semplicemente eseguire processi come tale account. Ad esempio, se apri un allegato malware che consente a un utente malintenzionato di accedere al tuo computer, verranno eseguiti come account. Non conoscono la tua password. Non possono ottenere l'hash della password, a meno che tu non sia un amministratore. Non consentire agli utenti di essere eseguiti come amministratori locali sulle loro workstation. Non lasciare che gli amministratori di dominio accedano alle workstation con diritti di amministratore di dominio - mai!

Link per ulteriori informazioni / mitigazioni:

https://blogs.microsoft.com/microsoftsecure/2015/02/11/krbtgt-account-password-reset-scripts-now-available-for-customers/

http://www.infosecisland.com/blogview/23758-A-Windows-Authentication-Flaw-Allows-DeletedDisabled-Accounts-to-Access-Corporate-Data.html

https://mva.microsoft.com/en-us/training-courses/how-to-avoid-golden-ticket-attacks-12134

bao7uo
fonte
E se lavori in un ambiente relativamente permissivo, come il mondo accademico? Potresti avere a che fare con utenti che hanno un mandato e non sono disposti ad essere "addestrati" e poiché hanno un mandato non ti è permesso liberartene o ridurne i privilegi.
Katherine Villyard,
3
Consiglio sempre le migliori pratiche. Ci saranno sempre alcuni tipi di organizzazioni che non possono attuarlo al 100%. Alcune persone si vedono come al di sopra della legge e alcune organizzazioni considerano il possesso / ego più importante che applicare politiche / sicurezza in modo equo e uniforme. Quelle persone e organizzazioni dovranno assumersi la responsabilità delle conseguenze delle loro azioni. Speriamo che quelle organizzazioni accademiche non si
occupino di
1
Ho fatto alcuni corsi MVA sul biglietto d'oro e sulla mitigazione del pth ma la mia comprensione era che ricorda 2 password, quindi è necessario cambiarlo almeno due volte, non solo una volta. Anche lo script per krbtgt lo fa due volte.
JurajB,
1
non posso modificare quanto sopra quindi aggiungendo: Anche lo script per krbtgt lo fa due volte. La scelta migliore (per l'account utente) non sarebbe quindi quella di cambiare la password due volte e quindi disabilitare l'account?
JurajB,
2
You need to bring your domain offline. Ciò può funzionare per un piccolo ufficio, ma è improbabile che una grande azienda possa semplicemente mettere offline il proprio dominio / foresta.
Greg Askew,
12

sono stati in grado di utilizzare accessi con hash di un utente amministratore che è partito un paio di mesi fa.

Gli hash delle credenziali rubati non funzionano per gli account disabilitati, a meno che non si trovi su un computer che non è connesso alla rete. Il processo deve ancora richiedere un ticket o autenticarsi con un controller di dominio. Non posso farlo se l'account è disabilitato.

È necessario disabilitare gli account amministrativi per gli ex dipendenti quando escono.

Greg Askew
fonte
In che modo gli hash delle credenziali rubati aiutano l'attaccante? Se non hanno la password effettiva, non c'è modo di recuperare la password dall'hash (tranne che per ottenere password di piccole dimensioni utilizzando le tabelle arcobaleno), giusto? Non sono sicuro di cosa mi manchi qui.
Chirag Bhatia - chirag64,
1
@ ChiragBhatia-chirag64 Stai presupponendo che gli schemi di autenticazione siano resistenti al replay. Potrebbero non esserlo, nel qual caso gli hash sono tutto ciò che serve per autenticare.
Jonas Schäfer,
Puoi fare un esempio in cui lo schema di autenticazione di Windows utilizza l'hash effettivo anziché la password di testo? Scusate se questa sembra una domanda stupida, non ho mai visto una tale implementazione prima (o forse ho frainteso il meccanismo di autenticazione di Windows)
Chirag Bhatia - chirag64,
3
@ ChiragBhatia-chirag64 en.m.wikipedia.org/wiki/Pass_the_hash
Greg Askew
@GregAskew grazie, non avevo idea che questo fosse una cosa nell'autenticazione di Windows. È piuttosto sorprendente che non utilizzino qualcosa come SSL per inviare la password. Mi sembra un grosso problema di sicurezza.
Chirag Bhatia - chirag64,
3

Supponendo un account utente standard, potresti prendere in considerazione:

  1. Cambia la password
  2. Disabilita l'account.
  3. Rinominare l'account (nome utente-sospetto) e creare un nuovo account per l'utente interessato.
  4. Aggiungi l'account sospetto a un gruppo di sicurezza "Utenti disabili / compromessi".

Per il n. 4, è già in atto un criterio di gruppo che procede come segue:

  • Negare l'accesso a questo computer dalla rete: "Utenti disabili / compromessi"
  • Nega l'accesso tramite Servizi Desktop remoto: "Utenti disabili / compromessi"
  • Nega accesso locale: "Utenti disabili / compromessi"

Per un account amministratore di dominio, l'intera rete è brindisi.

Katherine Villyard
fonte
perché suggerisci di cambiare la password più di una volta?
bao7uo,
se un account amministratore di dominio è stato compromesso, ciò significa che ogni account utente è compromesso. vorresti che rinominassero ogni account utente?
bao7uo,
1
@PHPaul: a seconda dell'incursione, se un account è ancora in uso, la ridenominazione può essere una tattica valida. E ovviamente non stanno raccomandando di rinominare ogni account.
Greg Askew il
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.