PERMISOS ACLs DESCONFIGURADOS – De Usuario Regular A Administrador De Dominio En 5 Minutos.

PERMISOS ACLs DESCONFIGURADOS – En los ambientes de dominio, los permisos NTFS y permisos para compartir carpetas son muy utilizados, pero ningún administrador de dominio puede negar que muchas veces son mal utilizados. Este es el proceso con el cual muchas veces nos encontramos en los dominios de nuestros clientes:

  1. El controlador de dominio fue configurado con todos sus grupos de seguridad asignados a las distintas carpetas de los servidores para compartir los recursos a los usuarios.
  2. El jefe de operaciones de la empresa llama al administrador del sistema que fue contratado hace un par de meses para que este le de acceso a cinco empleados a una carpeta en la red.
  3. El administrador del sistema accede al servidor donde se encuentra la carpeta y añade a estos cinco usuarios a los permisos de seguridad y a los permisos de compartir para completar la tarea.

De estos tres puntos vienen las siguientes preguntas:

¿Qué paso con los grupos de seguridad que fueron asignados en el controlador de dominio para casos como este?

Respuesta: El nuevo administrador del sistema no tenia idea de estos grupos de seguridad.

¿Pero si al momento de añadir los usuarios uno a uno pudo ver que los grupos estaban, porque no fue al controlador del dominio y lo hizo correctamente?

Respuesta: Créalo o no, porque no se le ocurrió, porque lo quería hacer rápido, porque considero que estaba bien, porque no le intereso, son múltiples las respuestas para esta pregunta.

¿Y porque añadió a los usuarios con TODOS los permisos y no solo con permisos de leer o de escritura?

Respuesta: Porque sencillamente no quiso analizar la situación con el jefe de operaciones. Ambos de alguna forma piensan que mientras los empleados tengan acceso a la carpeta todo está bien.

Precisamente estas son las configuraciones que hacen que los sistemas se vuelvan vulnerables. Después de años realizando este mismo procedimiento mal efectuado, los permisos ACL del controlador de dominio, de los servidores, de las carpetas y de NTFS se han salido de control y lo único que vemos es un espagueti de permisos mal configurados.

Después de esta introducción pasemos a nuestro punto de interés:

Algunos de los permisos del Directorio Activo que deben ser tratados con mucho cuidado y monitoreados constantemente, porque los atacantes están muy interesados en ellos son:

  • GenericAll: Da derechos totales sobe el objeto en cuestión (agregar usuarios a un grupo o restablecer la contraseña del usuario)
  • GenericWrite: Actualiza los atributos del objeto.
  • WriteOwner: Puede cambiar al propietario del objeto a un usuario controlado por el atacante que este se haga cargo del objeto.
  • WriteDACL: Modifica las ACE (Access Control Entry) del objeto y otorga al atacante un control total sobre este.
  • AllExtendedRights: Permite agregar usuarios a un grupo o restablecer contraseña
  • ForceChangePassword: Permite cambiar la contraseña del usuario
  • Self (Self-Membership): Permite agregarse a un grupo

Ahora, analicemos como estos permisos pueden afectar a un dominio al punto de exponerlo totalmente:

¿Cuándo fue la última vez que analizo los permisos NTFS de su grupo de “Administradores De Dominio”?

En este caso, nunca se hizo y un antiguo administrador agrego a “USUARIO X” a los permisos NTFS del grupo de Administradores De Dominio con permisos de escritura y paso al olvido:

PERMISOS ACLs DESCONFIGURADOS – Anatomia de un ataque interno

PERMISOS ACLs DESCONFIGURADOS

PERMISOS ACLs DESCONFIGURADOS

Como vemos, los miembros de este grupo están perfectamente configurados en el dominio NOTANSEGURO.COM; por lo tanto, nadie sospecharía que el sistema está en gran riesgo.

Entonces, “USUARIO X”, quien es todavía un empleado de la compañía, un día abre un correo phishing, o conecta a su computador un USB infectado, o descuida su contraseña dando acceso directo a un intruso a la red interna, es aquí cuando comienza el problema:

El atacante al tener manejo del perfil de “USUARIO X”, comienza la enumeración del dominio no descubriendo nada interesante sobre el perfil del usuario vulnerado. Este pertenece al grupo de usuarios, sin permisos extras:

C:\Users\alexander.castillo\AppData\Local\Microsoft\Windows\INetCache\Content.MSO\35AF8856.tmp

Pero solo un poco más de enumeración permite descubrir la vulnerabilidad; utilizando un módulo de PowerShell llamado PowerView.ps1 el atacante descubre que el perfil de “USUARIO X” tiene permisos con privilegios sobre el grupo de administradores de dominio:

Desde aquí, el proceso de ataque es trivial, pero también extremadamente perjudicial. Utilizando la versión PowerShell de RSAT (Remote Server Administration Tools) llamada ADModule es posible que este mismo usuario se añada el mismo como administrador del dominio; en este caso el atacante toma ventaja de este vector de ataque fácilmente:

Para añadir usuario “USUARIO X” al grupo de “Administradores de Dominio”:

Vista desde el controlador de dominio:

Para finalmente acceder al controlador de dominio a través de UNC path o usando PowerShell Remote:

Como podemos ver nuevamente, hay desconfiguraciones que no son fáciles de descubrir en un dominio que pueden ser la causa de un gran problema donde la seguridad del dominio, la reputación y los activos de la empresa están en juego. En Seguridad-Ofensiva damos atención a estas configuraciones inseguras con el fin de darle una solución antes de que alguien más tome ventaja de ellas.

Si desean saber más detalles en relación con este ataque y sus posibles mitigaciones, por favor contáctenos a [email protected]. Sera un placer para nosotros darle mas detalles para incrementar la seguridad de su ambiente tecnológico.

¿Cómo Seguridad-Ofensiva puede ayudarme a mantener mi dominio libre de vulnerabilidades internas?

En Seguridad-Ofensiva hemos prestado atención a la situación real de los dominios. Entendemos que muchas veces los administradores de dominio no tienen tiempo para dedicarse al estudio y la búsqueda de vulnerabilidades tan peligrosas como esta porque están ocupados dando soporte a los empleados, creando nuevos usuarios o reemplazando computadores. Si ese es el caso de su departamento de tecnología, lo invitamos a que nos contacte para que de esa forma podamos contarle de nuestros procedimientos NO INVASIVOS. Nuestra intención es darle una solución real a las vulnerabilidades internas a las cuales los antivirus no pueden identificar. Sírvase contactarnos a [email protected]

Si desea conocer más de nuestros servicios especializados en la prevención de vulnerabilidades en redes internas lo invitamos a visitar: https://seguridad-ofensiva.com/pruebas-de-penetracion-internas

Nuestro Canal de YouTube 

Estamos aquí para evaluar e incrementar la seguridad de su entorno tecnológico.

Leave a Reply

Your email address will not be published. Required fields are marked *