0
0
Os compartilhamentos de rede em ambientes do Active Directory configurados com permissões excessivas representam sérios riscos para a empresa na forma de exposição de dados, escalação de privilégios e ataques de ransomware. Duas novas ferramentas de simulação de adversários de código aberto, PowerHuntShares e PowerHunt, ajudam os defensores corporativos a descobrir compartilhamentos de rede vulneráveis e gerenciar a superfície de ataque.
As ferramentas ajudarão as equipes de defesa, gerenciamento de identidade e acesso (IAM) e centro de operações de segurança (SOC) a otimizar a busca de compartilhamento e a correção de permissões excessivas de compartilhamento SMB em ambientes Active Directory, escreveu o diretor sênior da NetSPI, Scott Sutherland , no blog da empresa. Sutherland desenvolveu essas ferramentas.
O PowerHuntShares inventaria, analisa e relata privilégios excessivos atribuídos a compartilhamentos SMB em computadores ingressados no domínio do Active Directory. A ferramenta PowerHuntShares aborda os riscos de permissões de compartilhamento excessivas em ambientes do Active Directory que podem levar à exposição de dados, escalonamento de privilégios e ataques de ransomware em ambientes corporativos.
“O PowerHuntShares fará o inventário de ACLs de compartilhamento de SMB configuradas com ‘privilégios excessivos’ e destacará ACLs de ‘alto risco’ [listas de controle de acesso]”, escreveu Sutherland.
O PowerHunt , uma estrutura modular de caça a ameaças, identifica sinais de comprometimento com base em artefatos de técnicas comuns do MITRE ATT&CK e detecta anomalias e discrepâncias específicas do ambiente de destino. A ferramenta automatiza a coleta de artefatos em escala usando a comunicação remota do PowerShell e realiza a análise inicial.
Os compartilhamentos de rede configurados com permissões excessivas podem ser explorados de várias maneiras. Por exemplo, o ransomware pode usar permissões de leitura excessivas em compartilhamentos para acessar dados confidenciais. Como as senhas geralmente são armazenadas em texto não criptografado, permissões de leitura excessivas podem levar a ataques remotos contra bancos de dados e outros servidores se essas senhas forem descobertas. O acesso de gravação excessivo permite que os invasores adicionem, removam, modifiquem e criptografem arquivos, como gravar um shell da Web ou adulterar arquivos executáveis para incluir um backdoor persistente.
“Podemos aproveitar o Active Directory para ajudar a criar um inventário de sistemas e compartilhamentos”, escreveu Sutherland. “Os compartilhamentos configurados com permissões excessivas podem levar à execução remota de código (RCE) de várias maneiras, os esforços de correção podem ser acelerados por meio de técnicas simples de agrupamento de dados e a verificação de compartilhamento mal-intencionado pode ser detectada com alguns IDs de eventos comuns e um pouco de correlação ( sempre mais fácil dizer do que fazer).”
FONTE: DARK READING