Утечка Домена. Как Мы Получили Доступ К Корпоративной Переписке Через Заброшенные .Git И Wpad.dat

При проведении тестов на проникновение мы часто сталкиваемся с пренебрежением и халатным отношением к сайту компании.

Для многих менеджеров веб-сайт — это галочка в портфолио репутации.

По мнению руководства и системных администраторов, сайт не приносит дохода, а его взлом не несет серьезных репутационных рисков для компании, что является фатальной ошибкой.

Самым ценным активом для любой компании является доступ к внутренней (локальной) сети, в которой хранится вся ИТ-инфраструктура предприятия.

Цель статьи - развеять миф о том, что не обязательно проверять сайт компании на уязвимости и показать, как взлом заброшенного сайта может дать злоумышленнику билет в локальную сеть.

Чем крупнее компания, тем больше у нее компьютерная локальная сеть и тем сложнее ею управлять.

Для облегчения работы по управлению системные администраторы настраивают корпоративную сеть на основе распространенного решения Active Directory (служба активных каталогов).

Это решение действительно упрощает управление локальной сетью, но оно также несет в себе большие риски.

Ключевым понятием Active Directory является домен и контроллер домена.

1. Получение доступа в админку Битрикс

В качестве примера возьмем доменное имя.

target.ru .

Часто в каталоге сайта клиента доступна папка .

git (рис.

1), отвечающая за контроль версий исходного кода.

Рис 1. Каталог .

git на сайте target.ru Наличие папки .

git позволяет восстановить исходный код всего проекта, например, с помощью инструмента GitDumper (Фигура 2).

Рис 2. Исходный код проекта target.ru Файлы проекта могут содержать что угодно: от скрытых файлов конфигурации до случайно оставленных резервных копий базы данных.

Мы столкнулись с резервной копией базы данных (рис.

3).

Рис.

3. В резервной копии базы данных хранятся хэши паролей для подключения.

Далее необходимо сбросить хеши паролей.

Например, через хешкот .

Используя найденные ранее логин и пароль, был получен доступ к админ-панели Битрикс с максимальными правами (рис.

4).

Рис 4. Админ-панель Битрикс

2. Выполнение команд на сервере

Рис 5. Чтение /etc/passwd на сервере с использованием функционала Битрикс

3. Описание функционала AD, WPAD и автообнаружения

Если файлы журналов содержат запросы типа: /wpad.dat, /autodiscover.xml, /autodiscover/autodiscover.xml (рис.

6.), то с большой долей вероятности у вас есть уязвимость «утечки домена» — пользователи из внутренней сети пытаемся получить файлы конфигурации из внешней.

Рис.

6. GET-запросы на получение файла конфигурации wpad.dat Служба Active Directory обладает достаточно широким функционалом по созданию групповых политик, управлению доступом и предоставлению доступа к различным сервисам.

Контроллер домена в службе активных каталогов — это сервер DNS и DHCP. DHCP-сервер предоставляет файл конфигурации wpad.dat (автоматическая настройка прокси-сервера) и автообнаружение (автоматическая настройка почтового сервера).

Разумеется, возможность использования автоматических настроек используется в системах по умолчанию.

Если записи домена и брандмауэр настроены неправильно, происходит «утечка домена».

Почтовый клиент или браузер отправляет запросы в глобальную сеть к домену target.ru по протоколу HTTP(S) для получения данных конфигурации.

Этим и может воспользоваться злоумышленник.

4. Перехват трафика путем изменения wpad.dat и использования mitmproxy

Браузер клиента будет строго следовать полученным настройкам и все запросы будут отправляться через указанный прокси-сервер.

Злоумышленник, контролируя содержимое файла wpad.dat, может установить адрес внешнего mitmproxy-сервера для изменения или пассивного прослушивания всего трафика, исходящего из корпоративной сети.

Например, перехват данных аутентификации hh.ru (рис.

7) или чтение корпоративной почты (рис.

8).

Рис 7. Прослушивание трафика сайта hh.ru. Получение данных аутентификации через поле входа



Рис 8. Перехват корпоративной почты Exchange Далее, контролируя весь трафик, можно подменять исполняемые файлы (exe) и офисные документы (docx) на вредоносные, содержащие исполняемый код, с целью заражения корпоративной сети предприятия.

5. Результаты и рекомендации

Настоящий злоумышленник заразит корпоративную сеть вредоносным ПО с целью получения дополнительной финансовой выгоды.

Легко сказать, что разработчики и администраторы несут ответственность за защиту определенных корпоративных ресурсов.

Однако у этих специалистов совершенно разные функциональные обязанности и компетенции.

Системный администратор не является специалистом по информационной безопасности.

Та же история и с разработчиками.

Информационная безопасность – это комплекс мер, это процесс, это культура.

Когда пытаешься защититься от утечки домена, но делаешь это неправильно Что же можно было сделать, чтобы предотвратить эту утечку?

1. Обязательно регулярно проводите внешние и внутренние пентесты.

   Тестирование на проникновение является необходимой мерой предотвращения утечек;

2. Автоматическая настройка системного прокси через WPAD используется по умолчанию в WIN10. Необходимо отключить эту функциональность, если она не нужна;
3. Необходимо запретить клиентам внутренней сети доступ к внешним ресурсам.

   Меньше прав – меньше проблем;

4. Необходимо следить за целостностью корпоративных ресурсов, а также отслеживать журналы доступа;
5. Необходимо настроить DHCP/DNS, чтобы домен target.ru определялся как ресурс во внутренней сети, а не во внешней.

• Руководство По Использованию Служб Интернет-Факса

  19 Oct, 24

• 500 Задержанных Подали Иск

  19 Oct, 24

• Тайм-Бокс И Его Преимущества

  19 Oct, 24

• Сетевая Установка Linux

  19 Oct, 24

• Изменение Интерфейса Visual Studio Во Входящем Rc

  19 Oct, 24

• Ссылка - Ох, Как Чудесно В Этом Слове...

  19 Oct, 24

• Несколько Добрых Дел

  19 Oct, 24

• Как И Зачем Мы Научили Нейросеть Оценивать Повреждения Автомобиля

  19 Oct, 24

• Внезапный Диван В Леопардовом Принте

  19 Oct, 24

• А Что Если Без Javascript?

  19 Oct, 24