L'amministratore locale ha accesso a una rete correttamente configurata?

22

Ho letto questa domanda: È comune consentire l'accesso amministratore locale per gli sviluppatori nelle organizzazioni?

Questa domanda mi fa meravigliare. Posso vedere come l'accesso dell'amministratore locale è un pericolo per la macchina. Ma un computer con un account utente con accesso amministratore locale potrebbe rappresentare un pericolo maggiore per una rete configurata correttamente rispetto a un computer che non ha accesso di amministratore locale? Se sì, come?

    
posta Belle-Sophie 23.07.2018 - 15:47
fonte

8 risposte

27

L'accesso all'amministratore locale significa che è più facile per l'utente malintenzionato stabilire il controllo persistente dell'host, installare il software e modificare le impostazioni di sistema e intraprendere azioni come sniffare la rete che potrebbe consentirgli di spostarsi lateralmente su altri sistemi. / p>

Quindi, sì, è un pericolo per la rete, in quanto fornisce all'attaccante un accesso più stabile a una piattaforma più capace per i movimenti laterali.

    
risposta data 23.07.2018 - 16:35
fonte
11

Il pericolo è una parola strong. Direi che l'accesso amministratore locale presenta rischi di rete aggiuntivi rispetto all'accesso non amministratore.

L'accesso amministrativo consente all'utente di eseguire uno sniffer di pacchetti in modalità promiscua. Che può presentare rischi aggiuntivi se la rete in questione è vulnerabile agli attacchi MiTM o altre informazioni sensibili non crittografate attraversano la rete.

Devi comprendere questo rischio nel contesto di utenti che normalmente hanno accesso fisico alla rete. Un insider malintenzionato con accesso fisico al cavo di rete può semplicemente collegare il proprio dispositivo alla rete con accesso root / admin e annusare i pacchetti ed eseguire gli stessi attacchi senza l'accesso root sul proprio computer.

    
risposta data 23.07.2018 - 19:34
fonte
7

È molto più pericoloso di quanto la maggior parte delle persone indovini. Quando abbiamo discusso di quanto poteva fare un utente dall'amministratore locale (account locale, non account di dominio) su una macchina con un dominio, ho detto "Volete scoprirlo?" Nessuno ha fatto. Risultarono che volevano discutere la teoria ma non metterla alla prova.

Ho sostenuto sull'altra domanda su cosa stai difendendo. Bene, ecco la cosa. La prossima volta che qualcun altro si connette alla macchina in questione, l'amministratore locale può impersonare quell'utente. Se si tratta di un accesso alla condivisione di rete, la rappresentazione può essere utilizzata solo per alcuni minuti. Ma pochi secondi di amministrazione del dominio sono sufficienti per creare un servizio su una condivisione di rete sul controller di dominio.

Ai vecchi tempi era più stupido. La macchina può MITM-attaccare chiunque sulla rete non specificamente difesa contro lo spoofing dell'arp. Fino a poco tempo fa, questo era il gioco finale, ma alla fine la MS si mise d'accordo e chiuse SMB contro MITM fissando il pacchetto auth e facendo effettivamente una modifica all'indietro incompatibile in modo che rimanga fissa.

Ma non permettendo che l'accesso VLAN dello sviluppatore a Internet sia stupido. Forse la cosa migliore da fare è lasciare che siano amministratori sulle loro macchine o VM ma semplicemente non unirle al dominio.

Eppure questo non arriva quasi mai. La minaccia di essere licenziato e perseguito impedisce agli sviluppatori di andare fuori tutto così, e per qualche motivo il malware di internet-bourne non usa questa roba. Quindi, di nuovo, cosa stai difendendo davvero? Gli sviluppatori probabilmente possono prendere in consegna comunque . Devi installare gli aggiornamenti delle versioni in produzione prima o poi.

    
risposta data 24.07.2018 - 04:01
fonte
4

Sì, è pericoloso.

Nel 2014 ho avuto un caso che è andato così:

  1. Lo sviluppatore con diritti di amministratore locale assume la proprietà di utilman.exe , che è un'applicazione di facile accesso
  2. Sostituisci utilman.exe con cmd.exe (che è anche firmato da Microsoft, quindi un controllo firma non lo rivela)
  3. Riavvia il PC e fai clic sull'icona dell'accessibilità

Voilà, hai una console con diritti di autorità / sistema NT. Ora puoi spiare le credenziali da processi critici come LSASS (ad esempio usando Mimikatz ). Se puoi ingannare il tuo amministratore (social engineering) per accedere da remoto al tuo PC, hai le sue credenziali.

Se non puoi, installa semplicemente un servizio che funziona anche con i diritti di sistema. Puoi quindi annullare l'hack e lasciare che il servizio attenda più a lungo per raccogliere le credenziali per te.

Sembra che questo non sia stato corretto in Windows 10.

    
risposta data 24.07.2018 - 17:45
fonte
3

Accesso amministratore significa che puoi eseguire determinati strumenti che richiedono privilegi. Gli sniffer di pacchetti sono menzionati da altri. Un altro esempio è un ARP-spoofer / avvelenatore per attacchi MitM o un imitatore mDNS / NBT-NS (ad esempio Responder). Generalmente qualsiasi strumento che richiede un accesso di rete di basso livello o la possibilità di aprire determinate porte protette è più probabile che richieda l'accesso come amministratore.

Inoltre, essendo un amministratore locale rispetto a un non amministratore significa che sarai in grado di accedere a determinate cose su quella macchina che potrebbero permetterti di ruotare su altri, ad es. usando mimikatz per scaricare le password AD memorizzate, accedere al registro completo su Windows, installare i keylogger cross-account (cioè come un demone / servizio), ecc.

È onestamente notte-e-giorno avere l'accesso da amministratore a no; è la ragione per cui le cose come OSCP si concentrano così tanto sull'apprendimento dell'escalation dei privilegi e non solo sul punto iniziale.

    
risposta data 24.07.2018 - 00:27
fonte
0

Beh, solo un esempio. Supponiamo che tu disponga di una rete ragionevolmente sicura con un firewall che permetta l'accesso completo http / https in uscita dai desktop degli utenti e nessun altro accesso in ingresso o in uscita da tali macchine e altri protocolli per server interni (DNS, mail, ecc.)

Un amministratore locale può impostare un proxy https dal suo desktop su un relay esterno e usarlo per bypassare completamente le regole del firewall. Può anche essere fatto per motivi buoni perché consente di continuare a lavorare o testare da casa. Ma sconfigge solo l'obiettivo del firewall aziendale ...

    
risposta data 24.07.2018 - 13:25
fonte
0

La risposta alla tua domanda è "sì". L'hacker può facilmente convertire la macchina in uno zombie ed eseguire attività dannose (con diritti di amministratore completi) sulla rete.

Uno degli attacchi più difficili da mitigare è il "Insider Attack." Nel tuo caso, stai consentendo a un utente malintenzionato di eseguire attacchi dalla tua rete interna con pieni diritti su uno zombie (macchina compromessa ).

    
risposta data 23.07.2018 - 18:42
fonte
0

Dipende da cosa intendi per "configurazione corretta della rete".

Se configuri la rete in modo che ogni host su di esso sia potenzialmente malvagio, molto probabilmente compromesso e una possibile fonte di attacco, l'accesso all'amministratore locale non è un pericolo (che non ti aspetti già).

Nel mondo reale, qualsiasi rete interna e la maggior parte delle reti di data center sono configurate con un'ipotesi di un certo livello di affidabilità , il che significa che sono almeno più affidabili di quelle esterne / Internet.

L'amministratore locale sfida questa ipotesi. Nota che ho detto "sfide", non "pause".

Devi chiederti quanto sono affidabili i tuoi amministratori locali, sia sulla scala dell'azione intenzionale che sulla scala degli errori e degli errori. Questo è ora il tuo livello di fiducia nella rete.

    
risposta data 25.07.2018 - 06:03
fonte

Leggi altre domande sui tag