Школьники-ксацкепы

Мне прислали ссылку на прекрасную статью. Вот она:

http://www.xakep.ru/post/57477/

Так как я сегодня читал два курса, то мне хочется спать, поэтому я не буду растекаться мыслью по древу.

Уровень статьи — начальный+. Автор разбирается в Active Directory чуть выше минимума уровня «знаю расшифровку слов», но пишет для аудитории, которая не разбирается даже на таком уровне. Плюс специально недоговаривает кучу вещей либо обманывает для зарабатывания дешевой популярности у неграмотной части читателей. Я разберу основные моменты статьи, чтобы показать, что это не «Всё, теперь AD хакнули», а достаточно простые штуки, большая половина которых разбирается у нас на углубленных курсах по Active Directory, но не упоминается в обычных, поэтому и вызывает такую реакцию.

Иными словами тот, кто покажет Вам эту статью с комментарием «Как ломануть AD» сам достаточно плохо разбирается в материале.

Я не буду анализировать мысли типа «Не знаю, чем руководствовались люди из Microsoft, когда проектировали и создавали систему групповых политик в Windows, но получилось у них не очень». Автор не имеет опыта работы с Active Directory и её аналогами, поэтому его личные предположения о том, что у кого как получилось, показывают лишь то, что ему есть чему учиться. Да и всё ж журнал «Хакер» — это для тех, кого называют «линуксбизапасниками» — которые по 10 лет порты на firewall’е открывают-закрывают и называют это «информационная безопасность». У них любое упоминание Microsoft в негативном свете вызывает предоргазменное состояние.

Начнём.

Трюк 1. Обходим загрузку политик

Автор описывает вход по кэшированным credentials. Это обходится настройкой групповой политики, которая отключает кэширование. Есть с 1999 года.

Плюс автор банально не знает, как политики работают:

Итак, что мы здесь видим: политики подгружаются на стадии входа в систему.

Нет. Ещё и фоново обновляются.

Здесь есть небольшая фича. По умолчанию обновление политик выполняется каждые 5 минут.

Нет, на рабочих станциях и серверах — раз в 90 минут. 5 минут — только на DC.

Но если политики не были получены во время входа в систему, то обновляться они не будут!

Да, конечно. Тогда комп, сетевой шнур в который был воткнут через минуту после загрузки, вообще никогда бы не получал политики, даже если бы работал неделю без перезагрузки. Ну-ну. Автор бы проверил свои предположения до того, как написать.

Даже при отсутствии доступа в сеть мы сможем войти в домен, так как винда ранее закешировала наш логин и пароль (это произошло во время предыдущего входа в систему). Но уже без применения групповых политик.

Если бы scecli работал так, как предполагает автор, то унесенный домой ноутбук после ребута терял бы всё, что было настроено через доменные групповые политики. Этого не происходит по простой причине — потому что политики тоже кэшируются и продолжают применяться из кэша, а не перестают применяться. Матчасть, учите матчасть. Не тянете — идите к нам на курсы.

Резюме: Это не трюк. Это незнание автора, как работают штатные настройки политик, которые есть с 1999 года.

Трюк 2. Как происходит проверка политик?

Автор исходит из предположения, что все пользователи — админы. Это не так.

Упомянутые ключи реестра также не доступны обычным пользователям для правки. Желающие могут пройти и посмотреть на права ключа HKEY_LOCAL_MACHINESoftwarePolicies и поискать там группу Users.

Вообще, сий «трюк» странен — никакой конкретики. Вот, мол, смотрите, куда она политики пишет, я её раскусил! И тишина. Ну и что? А ещё Windows память иногда выгружает в своп-файл. Я нашёл где она его хранит, я её раскусил, ура!

Резюме: В трюке делается ложное предположение о том, какие права у пользователя и какие права на целевых ветках реестра. Это попытка обмануть читателя.

Трюк 3. Обходим SRP

Упоминается GPdisable, которая сейчас уже не работает. Упоминаются некие «еще более продвинутые решения», но никаких ссылок. Автор муссирует ту простую мысль, что если софт отучить читать политики, то политики перестанут действовать на данный конкретный софт. Почему-то при этом не пишет, что это будет относиться к политикам, которые действуют на пользователя. Ну вот сделаете Вы свой regedit.exe, который отличается тем, что не читает из политики «можно ли запуститься». И что с того? Если Вам будут зарубать доступ к реестру, то Вам его зарубят на уровне прав реестра, а не на уровне утилиты. Тогда у Вас просто не будет срабатывать целевой вызов RegEx или чего-то подобного.

Резюме: Автор пишет про устаревший способ, который действовал только в ограниченном подмножестве ситуаций и никак не мог повысить привилегии пользователя на системе. За повышение уровня прав в системе выдаётся, по сути, правка параметров приложений, на которые есть права у юзера. Пример — Вам через политики раздаётся proxy-server. На уровне юзера. Вы можете, в принципе, зайти в реестр и поправить его вручную. И пока политики в очередной раз не «накатятся», Вы можете считать, что Вы «ломанули групповые политики». Хотя по сути Вы ничего не сделали. Если Вам назначат proxy-server на уровне политик хоста, а не юзера, повторить действие не получится.

Трюк 4. Binary planting

Начну с цитаты:

Тут есть важный нюанс. Групповые политики при запуске ПО могут проверять и DLL’ки, но при этом достаточно сильно падает производительность системы, потому по умолчанию эта опция отключена. И мы это можем использовать!

Про производительность интересно — сразу видно, автор пишет про то, что сам не пробовал. Опираться же на дефолтное отключение параметра безопасности — круто. Я уж не говорю про то, что упомянутые утилиты можно заблокировать и обнаружить разными способами (например, инвентаризацией файлов, которую пользователь не увидит, или форвардингом логов на отдельный сервер).

С такой же логикой можно кричать, что шифрование NTFS или Bitlocker неэффективно, ведь оно выключено по умолчанию.

Резюме: Это не трюк, а странное предположение, что администраторы очень и очень непрофессиональны и специально не включат важную фичу SRP включая весь SRP.

Трюк 5. Используем исключения

Куча некрофилии в этом трюке.
Из «Справки» можно заблокировать запуск вообще всего — штатная документированная возможность групповых политик есть, специальная, как раз про это. Автор, судя по всему, прямо из неё описание брал.

Если винда не самая новая (до Vista), то кликаем правой кнопкой на синей верхней панельке «Jump to url», там печатаем «C:» и получаем настоящий встроенный explorer

Это неправда. Выключается это через политику и для XP тоже. Это вообще очень старый трюк — запуск через клик по ссылке в Help’е.

Или другой вариант — «добавить» новый принтер, получив опять же доступ к листингу файлов.

В групповой политике с 1999 года есть пункт «запретить пользователям устанавливать самостоятельно драйверы принтеров», который перекрывал возможность для как минимум 2х разных атак, одну из которых пытается описать автор. Судя по календарю, на котором конец октября 2011 года, автор находится на пике технологий безопасности.

Другая интересная категория — макросы внутри документов Microsoft Office. Это страшное дело

У автора представление о макросах на уровне Office 2000. Предлагаю ему попробовать в домене Office 2010 погонять и посмотреть — там нормальный, безобидный и подписанный макрос сложно запустить с первого раза, а уж что говорить про приводимые примеры. Плюс через групповые политики безопасность макросов настраивается крайне детально и крайне легко запрещается запуск всего, кроме явно указанных. Ну, я уж не говорю про ту простую штуку, что макросы запускаются тоже от прав пользователя в общем-то.

Резюме: Самый некрофильский пункт. Автор кормит сказками, некоторым из которых около 12 лет, выдавая их за свежую выпечку. Не получается.

Трюк 6. Используем переменные среды

Указал, например, админ, что из папки %TEMP% можно запускать exe’шники, а юзер взял да и переопределил следующей командой:
Set TEMP C:

Автор не знает, что юзер не переопределил, а создал свою %TEMP%. Переопределить он сможет, когда он сам админом будет. Иначе бы любой юзер мог переопределить всякие смешные %WINDIR% и %PROCESSOR_ARCHITECTURE%. Было бы очень смешно.

Резюме: Автор не знаком с матчастью

Трюк 7. Используем другого пользователя

Есть способ не подпустить подгрузки политик, но для этого трика нам понадобятся логин и пароль другого пользователя. Суть в том, что нам надо войти в систему «еще раз», но не под собой.

Автор смело предполагает, что у нас есть несколько пользователей, мы знаем пароли от других, они имеют на эту систему право входа и нужный уровень прав. Замечательное предположение. Почему сразу не предположить, что на системе админ с пустым паролем?

Резюме: Весь «трюк» основан на очень странном и не-дефолтном стечении обстоятельств, которое встретить в реальности очень сложно, а помешать которому со стороны админов — очень легко.

Трюк 8. Вспоминаем про HTA

Данный «трюк» вообще непонятно зачем указан, потому что если пройти по ссылке на бложик Вадимса, то там можно почитать про это гораздо подробнее. Я это хорошо помню, потому что Вадимс это сам приезжал демонстрировать в Москву, а я сидел в зале. То есть сие вообще не трюк, а так — упоминание о прикольной штуке от 2009 года, с которой уже разобрались, а преподносится как типа уязвимость.

Резюме

Если человек Вам хочет что-то рассказать про безопасность Active Directory, показывая такую статью, то это лишь показывает, что этот человек малограмотен. Такие «специалисты» обожают пытаться делать из IT некую секту, им нужно шаманство, как простейший способ показать своё превосходство перед новичками. Когда Вы видите человека, который пытается показать свою компетентность в науке, делая карточные фокусы, базирующиеся на примитивных и простых вещах, а выдавая их за Волшебство и Приобщение к Тайне, посылайте его нахуй. Знания и шаманство противоположны по знаку. Если подобный «технический материал» выдают за откровение вида «Началась новая эпоха; взломаны групповые политики», то для настройки на нужный лад надо это читать под http://www.youtube.com/watch?v=MK6TXMsvgQg.

Учите матчасть, это несложно.

Реклама
Школьники-ксацкепы

Школьники-ксацкепы: 25 комментариев

  1. ivladislaw:

    Вообще, из высказываний тех, у кого в увлечениях стоит «Linux» можно делать какое-то юмористический сборник. Почему это так?
    -В Visual Studio нельзя писать код. (Не помню где это, но видел).
    -Windows Media Player написан на ASP.Net.
    -В Windows нет разделения прав.
    -Мне 40008222781 год.
    -Не готовы к Linux? Не пускать за компьютер!

      1. А что там случилось? С временем пытаются поправить проблему? С утра народ писал, что на дваче типа время не перевелось.

        1. Ну да, там время не перевелось, но это было на борде видно, т.е. всё работало. Видимо обезьян полез tzdata переставлять и пиздец 🙂

        2. prouser2011rus:

          С временем это вообще беда. Сегодня целый день народ звонил, плакались, почему они переводят время вперёд, а оно через 5 минут назад отскакивает. На сервере времени кривой патч поставили, ждём новый когда вышлют.
          И андроид у меня упёрся, и обновлений не видать на горизонте. А айфон корректно переварил прихоти российского царя.

  2. Да, «пасспорт» шикарен 🙂 Равно как и угрозы чёрной магией 🙂

    А про «прааааативных друзей коварно променявших детские бирюльки на семью и детей» я слышал ещё на спейсезах, от кого-то из местных клоунов в блоге Пушкарёва.

    1. Иван Ковальчук:

      Продолжаем тему веснина.
      Потратил около часа, чтобы просканить всю его жежешечку на предмет чего-нибудь интересного. Не могу сказать, что это время было потрачено зря. Там и радость:
      http://ss666.livejournal.com/33377.html
      И философия отношений:
      http://ss666.livejournal.com/103328.html
      И философия жизни:
      http://ss666.livejournal.com/51071.html
      И увлекательные путешествия:
      http://ss666.livejournal.com/16846.html
      И высокие технологии:
      http://ss666.livejournal.com/51348.html
      И неправильная страна:
      http://ss666.livejournal.com/66076.html
      http://ss666.livejournal.com/77890.html
      И неправильный язык:
      http://ss666.livejournal.com/11017.html
      И правильная жизнь:
      http://ss666.livejournal.com/451.html
      И искромётный юмор:
      http://ss666.livejournal.com/12093.html

      1. Ты занятия сорвал, теперь все по Lync’у друг другу пересылают цитаты и люто, дико ржут.

  3. Ruslan V Karmanov :
    Кстати, я сегодня в фейсбуке как раз постил ссылку на его последний постинг. Он просто реально больной на голову.

    Там фича не в том, что больной, а в том что это рассуждения анекдотического 16 летнего революционера, с плохими родаками, Системой, требующими «хуй знает что» бабами, ненужностью семьи и т.п.

    1. Ну это да. Т.е. как «курс молодого бойца» его ЖЖ прекрасен. Вот это — типовой иксперт-па-линуху, борцун за Свободу и всё такое. Настоящий. Кушайте.

  4. Срочно в номер — ЖЖ Веснина! http://ss666.livejournal.com/

    Уже первый пост рвёт в клочья и заставляет катаццо по полу минут 40. Кто не вкуривает — ЭТО пишет блядь не школьник, это пишет тридцатилетний уебанушка.

    1. Oleg Parhimchik :

      Срочно в номер – ЖЖ Веснина! http://ss666.livejournal.com/

      Уже первый пост рвёт в клочья и заставляет катаццо по полу минут 40. Кто не вкуривает – ЭТО пишет блядь не школьник, это пишет тридцатилетний уебанушка.

      Кстати, я сегодня в фейсбуке как раз постил ссылку на его последний постинг. Он просто реально больной на голову.

    2. ivladislaw:

      Прочитал ту заметку. Цитата:

      «Мне 40008222781 год, телу по пасспорту 29, состояние тела на 20-26 лет. Я не старею. Это не врожденное — я сам сделал себя таким, и — если будут — все мои потомки унаслежуют дар вечной молодости, как в ДНК, так и в методике как это сделать и мои знания.»

      У нас, одно время, с девятого этажа кричал какой-то сумасшедший.
      «Фиксируйте всё на бумаге». «Я вчера вам кричал, а соседи бросали в меня ошмётьями».
      Речь шла о политике, об ангелах и т.д.
      Из той же оперы.

  5. prouser2011rus:

    Стоит признать, что многие настройки и пункты, которые напрашиваются на самое видное место, запрятаны очень глубоко.
    Кстати, кто знает, какой аналог АДА существует для линукса или фряхи?
    Ну и повелителей ада вопросец, как зупустить всем юзерам однократно рег-файл?

    1. Делается при помощи предпочтений групповых политик (group policy preferences), работает на клиентах от Vista SP2 и выше, для ХР надо предварительно установить заплатку 943729.
      Дальше совсем просто: ветка пользователя — настройки — реестр — завести нужный ключ — перейти в свойства и ткнуть галку «Применить один раз».

    2. > Стоит признать, что многие настройки и пункты, которые напрашиваются на самое видное место, запрятаны очень глубоко.

      Нет, это не так. Абсолютно все «сикреты» автора рассказываются на наших обычных курсах по Active Directory.

      > Кстати, кто знает, какой аналог АДА существует для линукса или фряхи?

      Аналогов нет — по ряду технологий линукс отстаёт на 12-15 лет, по ряду — на 5-6.

      > как зупустить всем юзерам однократно рег-файл

      Разовый запуск скрипта рассматривается в нашем курсе Microsoft-6425.

  6. Ув. господа, какова практика применения SRP/Applocker в ваших сетях? (Применяем/ Нет/ Чуть-чуть/ Свой ответ)

  7. Ксакепы полагают, что SRP, который не даёт запустить левые ехе-шники, почему-то дать запустить GPDisable. Ну да! Стотыщраз даст.

    Ксакепы полагают, что администратор разрешит в SRP исполнять что-то из %Temp%. О, да! А то, что при этом SRP моментально теряет смысл, как-то не подумали.

    «Если есть доступ к какому-то ПО, запущенному под такой учеткой, — атакуем» вообще можно перефразировать чуть проще: «вы можете взломать систему, если она уже взломана».

    1. Там вся статья полна допущений вида «Предположим, что»:

      — Вы локальный админ
      — Настройки или по дефолту, или специально ослаблены
      — Вы знаете логины и пароли других пользователей, у которых есть доступ к той же системе
      — Админ Active Directory не настраивает Active Directory вообще, разве что отключает встроенные механизмы защиты

      Про то, что включат SRP в режиме «Запрещать всё, кроме указанного», и осознанно включат в разрешенное утилиты по несанкционированному доступу — это просто шедеврально.

      По сути что-то вида «Допустим, Вы первый раз пришли в спортзал и сразу пожали штангу в 160 килограмм — ну, вот такая вот у Вас генетика».

Обсуждение закрыто.