Rafel Ivgi

Defensia LTD

1

?מי אני

.שנים בפיתוח וטכנולוגיה אבטחת מידע12מעל •

מאמרים בתחום אבטחת המידע 100-פרסמתי יותר מ •: MS04-025, MS05-005כולל

בחברת " "MCRCהייתי מנהל צוות אבטחת מידע ומחקר•Finjan 2004בשנת.

פעמיים שותף לזכייה ב , 8200בוגר היחידה הטכנולוגית •".פרס בטחון ישראל"

".Citadel"ל טכנולוגיות ב "סמנכ, בעבר•

2

?מי אני

3

?מי אני

4

?מי אני

5

?מי אני

6

?מי אני

7

?Defensia–מי אנחנו

8

“The shoemaker's son always goes barefoot”

ולא ב Windows XPאדמיניסטרטורים שמשתמשים ב •

Windows 7 או הWindows 7 בליUAC(כמעט שקול)

אדמיניסטרטורים שהסיסמא של החשבון האישי שלהם חלשה•

ZORIK:12345: דוגמא מלקוח–

אדמיניסטרטורים שהמחשב שלהם הוא לא חלק מסריקות •

אבטחת המידע

ים'אדמיניסטרטורים שלהם עצמם חסר פאטצ•

וירוס -אדמיניסטרטורים שלהם עצמם אין אנטי•

אדמיניסטרטורים עם מחשב נייד לא מוצפן•

9

Domain Administrators on Users VLAN

ברוב הארגונים בישראל אדמיניסטרטורים ומשתמשים מחוברים •

VLANלאותו ה

:משתמש מסוגל•

(NetBIOS Brute Force)לתקוף את מחשבו של האדמיניסטרטור –

(NBNS Race Condition)של שרת מקומי NetBIOSלזייף שם –

:להשתלט על תעבורת הרשת ו–

Domain Administratorשירוצו בהרשאות EXEלהחליף קבצי •

Domain Administratorsשל Hashes & Passwordsלגנוב •

על חיבורים מאובטחים כגון Downgrade Attacksעם MiTMלבצע מתקפות •

SSH, SSL וRDP

10

Domain Administrator with a Weak Password

11

Domain Administrator Without the Conficker

Patch (MS08-067)

12

(LM and NTLM v1) vs. (NTLM v.2)

הזהות שלו , עובר ברשתAdministratorשל ה Hashברגע שה •

:יכולה להגנב

Pass-The-Hashבאמצעות Hashניתן להשתמש ב –

Dictionary, Brute Force, Rainbowבאמצעות Hashניתן לשבור את ה –

13

(LM and NTLM v1) vs. (NTLM v.2)

14

Pass The Hash

15

Pass The Hash

16

Pass The Hash

17

Daily logon as a Domain Administrator

?"אלוהים"האם יש ישות בין בני אדם העונה להגדרה •

גם במחשבים לא צריכה להיות ישות כזאת–

מחובר למחשבו האישי הוא איננו Administratorהאם כאשר •

?משתמש רגיל

?האם הוא גולש לאתרי אינטרנט–

?האם הוא נכנס לפייסבוק–

?האם הוא מקבל אימיילים ופותח אותם–

?האם הוא מוריד ומתקין אפליקציות–

?האם באפליקציה שהוריד יכול להיות וירוס–

Domain Administrator?18מה מסוגל וירוס שרץ בהרשאות –

Using Domain Administrator For

Services

?Domain Administratorצריך הרשאות MSSQLלמה שרת •

נשמרת מוצפנת במכונה ואדמין ( Hashלא ה )הגולמיתהסיסמא •

Clear Textמקומי מסוגל לשלוף אותה ב

Domain Administratorהמקרה בו השירות צריך הרשאות •

כמעט ולא קיים

Localההרשאות הכי נפוצות שיש בהם צורך הן , בפועל•

Administratorעל השרת עצמו , מקומי

המקרים בהם צריכים את ההרשאות הכי גבוהות יש צורך רק ב •

Local Administratorעל משתמשים ושרתים, מקומי

19

Managing the network with Local

Administrator Accounts

:ברוב המקרים הצורך המרכזי הוא•

היכולת להתקין בשרתים ומשתמשים–

Remote Registryו $Cלהתחבר מרחוק ב –

ביצוע סריקות מרוחקות–

מהמשימות באמצעות חלוקת תפקידים 99%אפשר לבצע •

(Separation Of Duties )לתפקידים הבאים

–Users Group – Local Administrators

–Servers Group – Local Administrator

–Change Password Privilege

20

The NetLogon Folder

היא הדרך הקלאסית להשגת Netlogonשימוש לגוי בתיקיית •

Domain Administrator

:המקרים הכי נפוצים הם•

Clear Textב Local Administratorsסקריפטים עם סיסמאות של –

משתמש פשוט הרשאות כתיבה לתיקיה זו–

כמעט לא ניתנת לאיתור באופן אוטומטי–בעיה לוגית •

בתיקיה זו רבים יותר" אוצרות"ה , ככל שהארגון ותיק יותר•

21

The NetLogon Folder

test.kix – Revealing the Citrix UI Password

22

The NetLogon Folder

addgroup.cmd – Revealing the local

Administrator of THE ENTIRE NETWORK

23

The NetLogon Folder

password.txt – can’t get any better for a hacker

24

LSA Secrets & Protected Storage

מערכת ההפעלה מייצאת פונקציונאליות לעבודה מאובטחת עם •

סיסמאות

:מפתחות ההצפנה מ/במערכת זו נשמרות הסיסמאות•

–Internet Explorer

–NetBIOS Saved Passwords

–Windows Service Manager

25

LSA Secrets

26

LSA Secrets

27

Protected Storage

28

Protected Storage

29

Wireless Passwords

30

Cached Logons

לא מסוגל , ממחשב ניידDomainמשתמש המחובר ל •

כאשר הוא בביתDomainלהתחבר ל

:לכן מתבצעת סימולציה כך ש•

של הסיסמא של המשתמש נשמר במחשבHashה –

והוא Hashכאשר הוא מזין את הסיסמא בתהליך ההזדהות מיוצר ממנה ה –

השמוריםHashesמושווה מול אוסף ה

השונים Hashesה 10ברירת המחדל היא שמירת : הבעיה•

האחרונים שהתחברו למכונה

כנראה שמשתמש דומיין אדמין מופיע , אלא אם מדובר בשרת•

ברשימה זו

31

Cached Logons

לא מבצעים את ההבדלה במדיניות זו בין רוב הארגונים •

לניידיםמחשבים נייחים

:רוב הארגונים לא מקשיחים•

0את העמדות הנייחות ל –

1את המחשבים הניידים ל –

2-3את השרתים ל –

תוקף עם הרשאת אדמין מקומי יכול /משתמש–מסקנה •

.מהזכרון של כל מחשב בארגוןDomain Adminלהשיג

32

Password History

בכדי למנוע ממשתמשים להזין את אותה הסיסמא בכל פעם שנדרשת •

של הסיסמאות הישנות Hashהחלפת סיסמא המערכת שומרת את ה

.במחשב המקומי

סיסמאות אחורנית24הגדרת ברירת המחדל היא שמירת •

משיג את כל משפחות הסיסמאות , תוקף שמשיג הרשאות על מחשב•

של כל חשבונות המשתמשים הקיימים על אותו המחשב

48מחשב שבממוצע שימש רק מישהו אחד נוסף בעבר יכיל עד •

סיסמאות

.כ בשימוש במחשבים וחשבונות אחרים בארגון"סיסמאות אלו בד•

33

Users as Local Administrators

, Local Administratorכאשר משתמש מקומי מחובר בהרשאות •

של המערכת המקומית בסיכוןIntegrityכל ה

של הסיסמאות הישנות Hashesמשתמש מסוגל להוציא את ה •

של כל המשתמשים

של הסיסמאות הנוכחיות Hashesמשתמש מסוגל להוציא את ה •

Domain Adminכולל , של כל המשתמשים שהתחברו למכונה

34

שוכחים להקשיח

RestrictAnonymous=1

35

Weak Passwords / No Complexity

Enforcement

מוצלחBrute Force= סיסמאות חלשות •

(!Password1)סיסמאות חזקות שמופיעות במילון •

סיסמאות ישנות או ברירת מחדל של הארגון•

36

Guess What the password was?

37