Pass-The-Hash: защитите свои компьютеры с Windows! (Часть 1)

• Pass-The-Hash: защитите свои компьютеры с Windows! (Часть 3)

Введение

За прошедшие годы было много уязвимостей и эксплойтов Microsoft Windows. Были черви, вирусы, программы-шпионы, взломщики паролей и многие другие вредоносные эксплойты, которые парализовали многие сети Windows. Я не думаю, что есть что-то, что может соперничать с самым популярным эксплойтом в Windows, таким как Pass-The-Hash (PTH). PTH — это эксплойт, который не имеет известного исправления. Не существует исправлений, пакетов обновления, параметров безопасности, параметров групповой политики или чего-либо еще, что можно было бы сделать для устранения эксплойта PTH. Итак, вопрос заключается в том, как возможен этот эксплойт, какие среды более уязвимы и как администратор может снизить риск этой вредоносной атаки?

Требования ПТН

PTH имеет одно простое начальное требование. Нет, это никак не связано с уровнем операционной системы. Все операционные системы, включая Windows Vista, Server 2008, 2008 R2, 7, 8 и даже 2012, уязвимы. Нет, это не имеет ничего общего с уровнем пакета обновления или конкретным патчем, который вы применили. Вторник исправлений не помогает с этим эксплойтом.

Для успешного выполнения PTH необходимо получить локальный административный доступ к компьютеру с Windows. Да, это все! Ну, с моей точки зрения, это должно быть сложно! Я уже много лет проповедую защиту серверов и десктопов. Я уже много лет проповедую, что пользователи не должны быть локальными администраторами.

Конечно, эксплойт PTH выходит за рамки концепции наименьших привилегий. PTH входит в область, где мы все не хотим баловаться. Тем не менее, мы должны внимательно следить за эксплойтом PTH из-за проблем, которые он выявляет.

PTH — это такой смертельный эксплойт, который должна учитывать каждая компания, использующая Windows. Итак, кто более подвержен этой атаке? Вы можете быть шокированы ответом!

Кто наиболее подвержен?

Вас может удивить, кто наиболее подвержен атаке PTH. На самом деле это не организации со слабой политикой паролей пользователей. Это не организации, использующие более старые операционные системы, такие как Windows NT и Windows 2000. Это даже не компании, которые не проделали хорошую работу по обновлению своих компьютеров с Windows с помощью обновлений безопасности и пакетов обновлений.

На самом деле организации, подвергающиеся наибольшему риску, — это те, которые практикуют хорошие «административные» методы. Да, это больше связано с процедурой, чем с настройкой! Конечно, конфигурация важна, но общие процедуры, которым следуют администраторы, могут подвергнуть организацию большему, чем что-либо еще.

Итак, имея это в виду, как организация может защитить себя от этой злонамеренной атаки?

Первая линия обороны!

Независимо от того, что вы делаете с атакой PTH, не входите в систему как администратор, если в этом нет крайней необходимости! Это означает, что вы не должны входить на контроллер домена, сервер или даже на рабочую станцию в качестве локального администратора или администратора домена.

Причина этого в том, что программное обеспечение, которое использует PTH, ждет, пока вы выполните эту задачу. По сути, PTH сначала получает локальный административный доступ (каким-то образом) с вашего компьютера, затем программное обеспечение помещается на этот компьютер, чтобы ждать… да, ждать, пока вы войдете в систему как администратор.

Как только программное обеспечение PTH обнаружит, что вы вошли в систему как администратор, оно попытается перейти с компьютера на компьютер, используя учетные данные (хэш), которые вы использовали для входа на любой другой компьютер. Если вы использовали учетные данные администратора домена или администратора предприятия, игра окончена!

Не настраивайте одинаковые пароли локального администратора

Часто это простая и удобная конфигурация для рабочих станций и серверов. Комфорт в том, что все пароли локальных учетных записей администратора одинаковы, очень прост. Независимо от того, к какому компьютеру вы прикасаетесь, учетная запись локального администратора всегда одна и та же. Однако это идеальная ситуация для атаки PTH.

Из-за того, что PTH перескакивает с компьютера на компьютер в сети, это опасная конфигурация для защиты от атаки. Также не забывайте, что PTH действителен только после получения локального администратора на компьютере… поэтому, когда локальный администратор скомпрометирован на одном компьютере, в среде, где все пароли локальных администраторов одинаковы, каждый компьютер будет скомпрометирован!

Есть решения, которые помогают в этой ситуации. Существуют приложения, которые можно приобрести или даже разработать для случайного выбора пароля локального администратора на каждом компьютере. Приложение задокументирует пароль, чтобы его можно было использовать в случае необходимости.

Также помните, что в Windows Vista и более поздних версиях учетная запись локального администратора по умолчанию отключена. Это была попытка Microsoft уменьшить уязвимость локального администратора от атак.

Не используйте учетную запись администратора

Когда вы находитесь в сети, попробуйте ограничить использование любой учетной записи администратора, особенно администратора. В идеале выполняемая задача должна ограничивать использование привилегий в зависимости от задачи. Итак, если вы просто просматриваете Интернет, вы должны быть обычным пользователем. Если вы выполняете действие в Active Directory, например изменяете членство в группе, у вас должны быть только привилегии (это возможно через делегирование AD). Если вы выполняете задачу, требующую привилегий администратора домена, вы должны войти в систему под этим именем.

Ограничение прав пользователей

Права пользователя — это конфигурации, которые контролируют, «кто» может контролировать «что» для компьютера. Права пользователя предоставляются каждому компьютеру, поэтому каждый компьютер может иметь свой набор этих параметров. Хорошо то, что права пользователей настраиваются с помощью групповой политики, поэтому можно легко настроить несколько компьютеров одинаково с помощью AD и групповой политики.

Причина, по которой права пользователя должны быть ограничены, заключается в том, что PTH будет переключаться с одного компьютера на другой, используя привилегии, доступные на каждом компьютере. Поскольку некоторые права пользователя чрезвычайно сильны и предоставляют слишком большой контроль, они могут дать злоумышленнику плацдарм на компьютере или рабочей станции, которого в противном случае у него не было бы.

Резюме

PTH — очень мощная атака. Из-за того, что не существует ни одного исправления, конфигурации, патча, настройки и т. д., которые могли бы защитить от него, PTH является смертельным для корпоративной сети. На самом деле, что бы вы ни делали с компьютером для защиты от ПТГ, не существует комбинации настроек, которая полностью защитит компьютер. В этой статье описаны некоторые из лучших средств защиты от ПТГ. Ключевым моментом является ограничение использования любой учетной записи администратора, а также защита локального администратора на любом компьютере. Кроме того, необходимо защитить пользователя, настроенного на локальные административные привилегии. Если злоумышленнику ограничен или запрещен локальный административный доступ к компьютеру, PTH полностью блокируется. В следующем выпуске этой статьи мы рассмотрим групповую политику и фактические настройки, чтобы показать вам, где и как вы можете заблокировать компьютеры, чтобы предотвратить атаки PTH. Цель состоит в том, чтобы уменьшить общую поверхность атаки и максимально свести на нет злоумышленника, который закрепится в среде и не позволит администратору домена получить доступ.

• Pass-The-Hash: защитите свои компьютеры с Windows! (Часть 3)