Istraživači sigurnosti i testeri penetracije imaju moćnu novu alatku u svom arsenalu s nedavnim razvojem Cable-a, naprednog kompleta alata nakon eksploatacije dizajniranog posebno za okruženja Active Directory.
Kreirao programer Logan Goins, ovaj uslužni program zasnovan na .NET-u pruža sveobuhvatne mogućnosti za izviđanje i eksploataciju ranjivosti Diskrecione liste kontrole pristupa (DACL) unutar poslovnih mreža.
Cable radi kao modularni alat komandne linije koji omogućava profesionalcima za sigurnost da temeljno procijene sigurnosne položaje Active Directory nakon što se postigne početni pristup.
Komplet alata, koji je doživio značajna ažuriranja tek jučer, fokusira se na identifikaciju i iskorištavanje ranjivosti zasnovanih na dozvolama koje bi mogle omogućiti napadačima da povećaju privilegije ili održe postojanost unutar ugroženih mreža.
Sintaksa primarne naredbe slijedi jednostavnu strukturu:
Gdje moduli uključuju specijalizovane funkcije za različite aspekte procjene Active Directory.
Ključni moduli i funkcije
Arhitektura cable podijeljena je na devet osnovnih modula, od kojih svaki cilja na specifične vektore napada Active Directory:
- ldap: Izvodi sveobuhvatno nabrajanje Active Directory objekata, uključujući korisnike, računare, grupe i servisne naloge sa podesivim filterima za pretragu
- dclist: Identificira sve kontrolere domene u trenutnoj domeni
- rbcd: Manipulira atributom msDs-AllowedToActOnBehalfOfOtherIdentity za napade ograničene delegacije zasnovane na resursima
- dacl: Čita ili modificira unose kontrole pristupa (ACE) na objektima
- trusts: Mape odnose povjerenja domene i šume
- ca: Otkriva ovlaštenja certifikata Active Directory Certificate Services (ADCS).
- predlošci: Procjenjuje potencijalno ranjive predloške certifikata
- korisnik: Izvodi operacije na korisničkim nalozima, uključujući manipulaciju SPN-om i poništavanje lozinke
- računar: dodaje ili uklanja račune računara iz domene
- grupa: Upravlja članstvom u grupi i nabraja korisnike unutar grupa
Tehnička implementacija
Istraživači sigurnosti mogu koristiti Cable za ciljano izviđanje pomoću naredbi kao što su:
Ovo identifikuje naloge konfigurisane bez Kerberos zahteva za pretautentifikaciju, potencijalno ranjive na ASREProast napade.
Za DACL manipulaciju, komplet alata nudi preciznu kontrolu:
Ova komanda daje pune dozvole za kontrolu određenom nalogu, demonstrirajući sposobnost alata da iskoristi pogrešno konfigurisane kontrole pristupa.
Prema projektnoj dokumentaciji, Cable je „prvenstveno kreiran da nauči više o ofanzivnom razvoju .NET-a u kontekstu Active Directory-a”.
Programer napominje da alat služi i kao projekat učenja i kao sredstvo za proširenje znanja o „ofanzivnoj sigurnosti fokusiranoj na Active Directory“.
Komplet alata je objavljen pod GPL-3.0 licencom, što ga čini slobodnim dostupnim profesionalcima za sigurnost za korištenje u ovlaštenom testiranju penetracije i aktivnostima procjene sigurnosti.
Dok Cable pruža vrijednu funkcionalnost za legitimno testiranje sigurnosti, njegove mogućnosti također naglašavaju važnost pravilnog osiguranja Active Directory okruženja.
Organizacije bi trebale redovno revidirati svoje dozvole za Active Directory, implementirati princip najmanje privilegija i nadgledati neovlaštene DACL modifikacije.
Nedavna ažuriranja alata uključivala su poboljšanja funkcionalnosti prikaza izvora računa na računaru, što ukazuje na tekući razvoj i usavršavanje njegovih mogućnosti.
Izvor: CyberSecurityNews
