Por Raphael Rosa*
O ambiente interno de tecnologia de uma organização contém diversos tipos de ativos, os quais podemos organizar entre Servidores e Estações de trabalho. Ambos os tipos de computadores geralmente devem ser membros de Domínio Active Directory da Microsoft, o qual deve ser o foco de todo atacante.
Serão abordados nesse artigo alguns tópicos de exploração de maneira superficial e alguns aspectos de pós exploração e movimentação lateral que podem reduzir os impactos do comprometimento de uma credencial ou estação de trabalho caso sejam tratados.
Cenário e ataque
O cenário de risco apresentado pode ser considerando tanto para um atacante que conseguiu acesso à rede interna da organização, como para um usuário malicioso, o qual pode ter acesso administrativo a sua própria máquina ou um ponto de rede válido e utilizar credenciais para tal.
O atacante do primeiro cenário poderia se utilizar de ataques de poisoning e Man-In-The-Middle para capturar hashes válidas na rede, e por meio de quebra das senhas ou ataques de SMB relay ter acesso a uma estação de trabalho.
No segundo cenário pode-se considerar que o usuário mal-intencionado pode ter acesso administrativo a sua máquina como, por exemplo, um Desenvolvedor que convenceu a TI a fornecer acesso administrativo para instalar aplicativos e softwares de desenvolvimento. Alternativamente ele pode ter acesso ao seu computador ou a de um colega e por meio de um dual boot com um sistema operacional Linux copiar o arquivo de banco de dados de senhas internos do Windows, o arquivo SAM.
O arquivo SAM (Security Account Manager), contém as hashes das senhas de usuários locais do sistema Windows, em forma de hash NTLM, que é utilizada nativamente por hosts Windows como um substituto direto de senha, permitindo que logins sejam realizados sem a quebra da hash.
Esse problema é especialmente relevante em ambientes corporativos que se utilizam do Windows, pois tanto de maneira local ou por meio do Active Directory, caso um atacante tenha uma hash NTLM válida da senha de algum usuário, ele pode efetuar autenticação em outros computadores.
Esse fato se torna especialmente complicado uma vez que ainda é encontrado em ambientes empresariais e parques de tecnologia (especialmente workstations) em que a TI utiliza-se de um procedimento padrão e uma senha de administrador local padrão para o provisionamento de uma máquina para o domínio.
Dessa maneira, pela lógica do ataque Pass-the-Hash, caso um atacante consiga invadir uma workstation, teria acesso administrativo local em todas elas.
Com esse tipo de acesso diversos tipos de ataques de pós exploração, roubo de arquivos locais ou execução de malware podem ser executados.
Como prevenir?
Os seguintes procedimentos são recomendados para a mitigação e combate das vulnerabilidades e cenários de risco descritos:
- Utilização de LAPS para randomização da senha de administrador local de máquinas participantes de um domínio Microsoft Active Directory.
- Utilização de credenciais apartadas em workstations de TI e usuários de Ti para minimizar os riscos de captura de hashes administrativas em workstations.
- Desabilitar protocolos inseguros que permitem o acesso inicial a credenciais ou hashes, como por exemplo, utilizando-se da configuração de “SMB Signing”.
*Raphael Rosa é Consultor de segurança da informação da Safeway Consultoria
Sobre a [SAFEWAY]
A SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.
Hoje através de mais de 17 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.
Vamos tornar o mundo um lugar mais seguro para viver e fazer negócios!
