Комментарии 5
Вторая строка: "Я буду проверять обновления в patch tuesday в тестовом окружении".
Справедливости ради, вам повезло много раз подряд:
Исполнение произвольного кода на подконтрольном устройстве.
Но, я так понимаю, это было начальным условием.
Как защититься: AppLocker, SRP, механизмы контроля запуска программ в антивирусном ПО и совсем хардкор: WDAC.
Наличие в домене предварительно созданных УЗ Computer.
Как защититься: отключать УЗ которые не используются длительное время.
Незамеченные манипуляции с атрибутами dNSHostName и servicePrincipalName(!) у захваченной УЗ. (afaik в оригинальной статье упоминается что это необходимо)
Как защититься: SIEM.
Незамеченная DCsync атака.
Как защититься: SIEM.
Моё мнение, что поздно установленные обновления — это наименьшая из всех проблем, которая привела к подобной возможности эксплуатации этой уязвимости и если копнуть чуть в сторону, то можно будет найти ещё интересного.
чёто я всё равно не (совсем) понимаю каким образом проходит первый этап т.е. как пемтестер оказывается в домене, пердставим ситуацию: раб.станции сотрудников (которые УЖЕ в домене) использовать не вариант, так как endpoint security все ети ваши мимикатцы, powershell base64 скрипы и прочее сразу спалит (я пробовал)), другой варикант - использовать свой самопальный ноутбук, даже упростим ситуацию - допустим в лолкалной сети пердприятия даже не организовано так называемое port security по стандарту 802.1x, просто воткнулся в розетку и вся сеть как на лолдони, но в таком случае ноут то не в домене и туда ещё необходимо попасть, допустим что ета так называемая ms-acauntquota которая по умолчанию равняется 10 отключена совсем, т.е. с простой учёткой не заведёш комп в домем, необходимо захватить учётки одмемнисраторов домема или щто? как использовать пресосданые учётки компов если вы ещё не попали в домем?!
Пентест корпоративной сети: о пользе своевременных патчей Microsoft AD