Pentesting Stories: Errors en beperkte hygiëne leiden tot compromitteren van een volledig (Windows) domein

Blog door Danut Niculae, Security Consultant Operations Center

Dit verhaal begint met een grote dienstverlenende onderneming, waar een aantal van zijn klantgerichte activiteiten verplaatst zullen worden naar een private cloud. SecureLink is gevraagd om zich tijdens het testen te focussen op deze cloud infrastructuur. Uiteindelijk hebben we een reeks kwetsbaarheden en verkeerde configuraties gevonden die een volledige domeinovername mogelijk maken.

SCAN

1. SCAN

Als eerste stap hebben we een snelle scan gemaakt van aanwezige web applicaties en hun configuratie. Hier hebben we één applicatie gevonden met een beheer interface dat open stond voor iedereen.

FILE UPLOAD

2. FILE UPLOAD

De tweede schakel in de keten was een interface dat onbeperkte file upload toestaat. Met behulp hiervan hebben we een Web Application Resource file (WAR) met een webshell voor admin doeleinden geüpload. Deze webshell is het eerste toegangspunt tot de back-end.

3. ACHTERDEUR

Elke gewone gebruiker kan het WAR-bestand via de shell uitvoeren, waardoor een achterdeur voor onze pentesters is geopend.

ACCESS AND SCAN

4. ACCES & SCAN

Via de achterdeur hebben we lokale bestanden kunnen openen en scannen. In een van de logbestanden hebben we een foutmelding gevonden in verband met NT Lan Manager (NTLM) hash negotiation. Deze foutmelding toonde een gebruikersnaam en het wachtwoord, in niet-versleutelde tekst.

INTERNAL IP ADDRESS

5. INTERN IP ADRES

Gebruikers kunnen de admin-interface van de applicatie gebruiken, zonder hiervoor geauthentiseerd te zijn. Daar hebben we niets kunnen bewerken, maar er was veel informatie zichtbaar, waaronder een intern IP-adres. We hebben dit IP-adres gebruikt om verbinding te maken via een extern bureaublad.

ADMIN ACCESS

6. ADMIN ACCESS

Nadat we ons aangemeld hebben met de eerder gevonden inloggegevens, zagen we dat we deel uitmaakten van de admin groep. Dit duidde op een duidelijk gebrek aan scheiding van privileges. Omdat we nu beheerderstoegang tot het domein hadden, konden we het domein volledig compromitteren door een ‘golden ticket’ te maken. Hierdoor is volledige toegang mogelijk tot elke dienst of systeem verbonden met het domein.

FULL DOMAIN COMPROMISE

7. VOLLEDIGE DOMEINOVERNAME

Bovendien is een groot aantal domeinbeheerders binnen de organisatie gevonden. Dit betekent dat er talloze alternatieve routes te volgen zijn. Je zou gerust kunnen stellen dat na de eerste overname de kans op permanente toegang groot was.

De ‘Golden Ticket’ aanval wordt gebruikt door aanvallers om domeinpersistentie te verkrijgen. De techniek maakt gebruik van het ontbreken van validatie op het Kerberos authenticatieprotocol om een ​​bepaalde gebruiker (geldig of ongeldig) na te bootsen. Dit komt door het feit dat gebruikers die een Ticket-Granting Ticket (TGT) hebben in hun huidige sessie, door Kerberos als vertrouwd beschouwd worden en daardoor toegang krijgen tot elke resource in het netwerk.

Lessons learned

De organisatie heeft veel energie gestoken in het beschermen van de extern gerichte webapplicatie. Een combinatie van factoren heeft echter geleid tot deze vrij eenvoudige overname van het domein. Bovendien zat er geen beperking op uitgaande communicatie, wat een ideaal scenario is voor elke aanvaller dat gegevens wil exfilteren.

  • Zorg ervoor dat web applicaties bestand uploads beperken tot strikt noodzakelijk. Indien noodzakelijk zullen bestand uploads moeten worden beperkt tot vooraf gespecificeerde bestandstypen.

  • Beperk altijd de toegang. Een eerste stap is om de toegang tot interne IP-adressen te beperken.

  • Vermijd het geven van privileges aan mensen die ze niet nodig hebben. Behoud een goede security hygiëne.

  • Hoewel de hoofdoorzaak een verkeerde configuratie was in één enkele applicatie, heeft een combinatie van andere factoren geresulteerd in een uitgebreide compromittatie.

  • Als dit een echte aanval was, zou de schade aanzienlijk zijn geweest. Herstel van een volledige domeinovername is buitengewoon moeilijk en vereist een enorme hoeveelheid tijd. Een waarschijnlijk scenario is dat een slachtoffer het domein mogelijk geheel opnieuw moet opbouwen.

cloud compromise

Ook interessant voor u…

hacker-thumb

Vraag een penetratietest aan voor uw organisatie

pentest-stories

Meer Pentesting Stories

thumb-website-page-newsletter

Ontvang maandelijks de nieuwste content via onze nieuwsbrief