10.6 Zranitelnosti a Vzdálený přístup (Remote Access)
Významné zranitelnosti Active Directory a souvisejících služeb
Během penetračního testování infrastruktury Active Directory se útočníci (nebo testeři) spoléhají nejen na konfigurační chyby a odhalování hesel, ale také na závažné historické i aktuální zranitelnosti. Níže uvádíme několik klíčových, které v nedávných letech otřásly světem bezpečnosti:
- PrintNightmare (CVE-2021-1675, CVE-2021-34527): Závažná zranitelnost ve Windows Print Spooler (správa tisku) umožňující Remote Code Execution (RCE), tzn. spuštění cizího kódu na dálku a na cizím serveru (typicky doménovém řadiči, kde se spooler často nezakazoval). Použitelné běžně do verzí Windows Server 2019.
- ZeroLogon (CVE-2020-1472): Jedna z nejhrozivějších chyb posledních let. Chyba při zpracování kryptografie v protokolu Netlogon vedla k eskalaci privilegií na samotném doménovém řadiči prakticky během vteřin – opět bez ověření (RCE útok s nulovým log-on požadavkem). Následovala kompromitace celého systému a DC hesla.
- MS14-068 (CVE-2014-6324): Starší, nicméně velmi známá chyba v ověřování kontrolních součtů u Kerberos lístků, umožňující běžnému uživateli neověřené eskalace směrem k doménovému adminovi na Windows Server 2012 R2 a starších.
- Ostatní časté chyby: GPO Group Policy Preferences (MS14-025), SMB Relay útoky typu MS08-068, chyby v Exchange (CVE-2021-42321) a MSSQL Serverech a sdílených složkách (Shares/SMB) nebo LAPS, popřípadě útoky do infrastruktury PKI služeb AD CS (Certificate Services), jakým je třeba známé zfalšování počítačového certifikátu jako administrátor přes Web Enrollment.
Vzdálený přístup ke službám po získání přístupových údajů
Při vzdáleném připojování k dalším systémům není často ani potřeba luštit původní čistý text (plaintext) získaných hesel (hashů z LSASS nebo přes LLMNR poisoning). Postup, kdy podvrhneme zjištěný NTLM hash rovnou na ověřovací protokol pro Kerberos TGT nebo NTLM přístup, je označován jako:
Základní techniky přihlášení
- Pass-the-Hash (PtH) - Předání NTLM nebo LanMan hashe jako autentizace bez znalosti plaintextového hesla např. přes protokol SMB k administraci serveru.
- Overpass-the-Hash - Vyžádání Kerberos lístku (TGT) tak, že hash uživatele nebo stroje je předán pro provedení šifrovaného timestampu, namísto celého hesla. Jakmile útočník získá legitimní TGT pro oběť, v síti ho dál propouští autentizací (tzv. Pass-the-Ticket - PtT).
Možnosti připojení a jejich síťové porty
- RDP (Remote Desktop Protocol): Port 3389/TCP.
- WinRM (Windows Remote Management): Otevřeno skrze 5985/TCP (HTTP) a 5986/TCP (HTTPS). Lze využít přes nástroje Evil-WinRM nebo PowerShell Remoting.
- WmiExec a DcomExec: Pro spuštění kódu na dálku a command-shell přes WMI protokol s použitím Impacket, využívají typicky porty 139/TCP, 445/TCP a namátkově vysoké porty (RPC).
- PsExec / SmbExec: Klasický přístup z frameworků jako Sysinternals přes sdílené soubory C$ a ADMIN$ k vytváření interaktivních shell příkazů (445/TCP).
- SCCM (System Center Config Manager) Remote Control: Port 2701/TCP.