Inhaltsverzeichnis
Einleitung
Dieses Video gehört zur Serie „Hacking & Defense“. Hier seht ihr in einem kompletten Video, wie ein Angriff ablaufen kann. Dabei nehme ich die Perspektive des Angreifers ein und zeige, wie ich in eine Windows Server Infrastruktur eindringe, mich dort einniste, meine Rechte ausweite und durch eine schöne Lücke in einer Gruppenrichtlinie zum Domain Admin werde. Abschließen werde ich mit einer Double Extortion!
Ablauf eines Angriffs
Na das Hacking war doch nicht schwer, oder? Würde der Angriff bei eurer Infrastruktur auch so leicht ablaufen?
Hintergrundinformationen
Einen speziellen Teil des Angriffs möchte ich genauer erklären: Ich konnte als Angreifer eine Gruppenrichtlinie finden, die ich als niederer Administrator editieren konnte. Dieser hatte dafür aber längst keine passenden Berechtigungen mehr. Wie das funktioniert, könnt ihr euch hier ansehen: Privilege Escalation & Lateral Movement mit GPO Poisoning
Tipps und Gegenmaßnahmen
Welche Fehler haben die Administratoren der Windows-Umgebung gemacht? Hier mal einige Beispiele:
- fehlende Application Control: Die Endanwenderin konnte eine ausführbare Datei starten. Wäre die Ausführung verhindert gewesen, dann wäre der Initial Access verhindert worden.
- fehlendes Patch-Management: das hätte die Privilege Escalation verhindert! Mit Patch kein Exploit!
- fehlendes Tier-Management bzw. unzureichende Umsetzung von Least Privilege: Warum war der Admin Fred auf dem Server angemeldet? Bzw. warum hat er sich nicht abgemeldet?
- mangelhafte AV-Lösung: Hat einer von euch nen Virenscanner anschlagen gesehen?
- Bug im Rechtemanagement von Gruppenrichtlinien (das schreibe ich Microsoft zu!) bzw. wieder unzureichende Umsetzung von Least Privilege: Fred hatte das Schreibrecht für eine GPO, die auch für hochprivilegierte Admins angewendet wurde. Das ermöglichte eine maximale Rechteausweitung und ein Lateral Movement!
Wie man solche und andere Schutzmaßnahmen umsetzt, schreibe ich in Kürze!
Zurück zur Übersichtsseite geht es hier: Serie “Hacking & Defense”
Stay tuned!