Zabezpečenie privilegovaných používateľov – ako znížiť riziko ich kompromitácie?

Keď sa útočníkovi podarí exploitovať zariadenie, jedna z prvých vecí, ktoré urobí je, že sa z neho snaží zozbierať všetky prihlasovacie údaje. Ak získa aj prihlasovacie údaje privilegovaných používateľov, značne mu to uľahčí kompromitáciu celej siete. Pre útočníka je totiž ťažké pohybovať sa po sieti bez privilegovaného účtu. 

Snaha o zabezpečenie privilegovaných používateľov je dôležitou témou už niekoľko rokov. Bolo vyvinuté veľké množstvo ochrán, ktoré zmierňujú riziko, že sa útočník dostane k prihlasovacím údajom v kompromitovanom systéme. Tieto ochrany ale riziko kradnutia údajov neeliminujú úplne. Je preto aj naďalej žiadúce, aby ste vo Vašej spoločnosti mali vhodne nastavenú správu prístupov a oprávnení privilegovaných používateľov pre prípad, že útočníci tieto ochrany prekonajú a získajú ich prihlasovacie údaje.

Ako sa vlastne útočník môže ku prihlasovacím údajom privilegovaných používateľov dostať? Existuje množstvo nástrojov, ktoré majú za cieľ kradnúť prihlasovacie údaje z kompromitovaného zariadenia v snahe objaviť práve údaje viažuce sa k privilegovaným účtom. Tieto programy sa pokúšajú zozbierať hashe, tickety, tokeny alebo prihlasovacie údaje uložené na disku alebo v operačnej pamäti v nešifrovanej forme. Programy a operačné systémy sa takémuto kradnutiu prihlasovacích údajov snažia zabrániť, prestávajú držať nešifrované prihlasovacie údaje v pamäti alebo chránia hashe, tickety a heslá pomocou virtualizácie. 

Obrovským rizikom sú tiež slabé heslá privilegovaných používateľov (alebo heslá uložené slabou metódou), pretože útočník ich dokáže ľahko prelomiť. Spôsob ako zmierniť toto riziko je napríklad na systémovej úrovni brániť privilegovaným používateľom v používaní slabých hesiel a v autentifikácii pomocou slabých metód ako je napríklad NTLM.

Riziko predstavuje napríklad aj privilegovaný účet lokálneho administrátora, ktorý má rovnaké heslo naprieč rôznymi zariadeniami. Ak útočník získa heslo do takéhoto účtu, spolu s ním získa aj prístup do mnohých ďalších počítačov. Kvôli eliminovaniu tohto rizika sú v súčasnosti v operačnom systéme Windows v rámci predvolených nastavení obmedzené oprávnenia na vykonávanie vzdialených zmien pre účet lokálneho administrátora. Lokálny administrátor napríklad nemôže vzdialene zapisovať do rôznych priečinkov a nemôže vzdialene používať rôzne Windows nástroje, ktoré malvér často používa na vytvorenie perzistencie.

Microsoft a história zabezpečovania účtov

Microsoft si zraniteľnosti spojené s privilegovanými účtami a ich oprávneniami veľmi dobre uvedomuje a snaží sa stále zavádzať nové metódy na ich ochranu. Snahy o zabezpečovanie účtov boli badateľné už od zavedenia operačného systému Windows 7. Predstavíme si niektoré z nich.

Windows 7

UAC (User Account Control)

So zavedením tohto operačného systému sa začalo používať UAC, menej aplikácií požadovalo zvýšené privilégiá a používatelia museli schváliť veľa činností predtým, než ich počítač vykonal (napríklad spustenie programu, otvorenie súboru, atď.). 

Windows 8

Prihlasovacie údaje sa neukladajú do pamäte

V operačnom systéme Windows 8 už veľa programov prestalo držať prihlasovacie údaje uložené v pamäti, aby tým znemožnilo nástrojom ako Mimikatz kradnutie hesiel z týchto zdrojov.

Chránené procesy
Windows 8 tiež zaviedol koncept chránených procesov. Tie mohli načítať iba podpísaný kód a interagovať s inými chránenými procesmi. Žiaľ, táto ochrana bola v rámci predvolených nastavení vypnutá a Mimikatz ju aj tak dokázal obísť načítaním podpísaného drivera.
Obmedzené oprávnenia lokálneho administrátora

Windows 8 sa snažil obmedziť aj riziko vychádzajúce z existencie účtu pre lokálneho administrátora, ktorý mal rovnaké heslo naprieč rôznymi zariadeniami. (Existencia takéhoto účtu je rizikom, pretože ak útočník získa heslo do tohto účtu, spolu s ním získa aj prístup na mnoho ďalších počítačov.) Microsoft z tohto dôvodu značne obmedzil oprávnenia na vykonávanie vzdialených zmien pre účet lokálneho administrátora. Lokálny administrátor napríklad nemôže vzdialene zapisovať do rôznych priečinkov a nemôže vzdialene používať nástroje ako schtasks, WMI a iné nástroje, ktoré malvér často používa na vytvorenie perzistencie.

Domain Protected Users Security Group

Ďalším podstatným prvkom na ochranu vo Windows 8 je Domain Protected Users Security Group, ktorá slúži na ochranu privilegovaných používateľov – bráni im v autentifikácii pomocou slabých metód ako sú NTLM, CredSSP alebo Digest Authentication.

Windows 10

Credential Guard

Tento operačný systém prispel ku bezpečnosti používateľských účtov napríklad pridaním Credential Guard, čo je technológia chrániace hashe a tickety pomocou virtualizácie. 

Device Guard

Ochrana Device Guard zase funguje na princípe aplikačného whitelistingu a povolí spustiť iba dôveryhodný kód, čím môže zabrániť spusteniu škodlivého kódu - napríklad aj takého, ktorý sa pokúša získať prihlasovacie údaje.

Napriek všetkým ochranám, ktoré existujú, je stále veľká šanca, že sa útočník dostane do privilegovaného účtu. Z toho dôvodu treba v každej spoločnosti veľmi citlivo a premyslene nastaviť používateľom role a prideliť k nim jednotlivé oprávnenia. Kompromitácia účtu disponujúceho väčšími oprávneniami, než je nutné, uľahčí útočníkovi jeho cestu dovnútra organizácie.


Post Views: 972
author avatar
QuBit Academy

Už viac ako 4 roky poskytujeme vzdelávanie primárne v oblasti informačnej a kybernetickej bezpečnosti.

Vytvárame priestor pre komunitu profesionálov v oblasti kybernetickej bezpečnosti a od začiatku nám záleží na hodnotách ako nezávislosť, transparentnosť, profesionálnosť, ktoré sa nám darí napĺňať aj vďaka Vám.