¿Cómo encontrar vulnerabilidades en la configuración de Active Directory?

Grouper es un módulo PowerShell ligeramente inestable diseñado para pentesters y redteamers que filtra el resultado XML del cmdlet Get-GPOReport (parte del módulo de política de grupo de Microsoft) e identifica todas las configuraciones definidas en los objetos de directiva de grupo (GPO) que pueden ser útiles para alguien que intenta hacer algo divertido / malo, explica un experto en seguridad informática.active directory.JPG

 

 

Ejemplos de los tipos de cosas que encuentra en los GPO:

  • GPO que conceden permisos de modificación en el GPO mismo a usuarios no predeterminados.
  • Guiones de inicio y cierre
  • los argumentos y las secuencias de comandos a menudo incluyen creds.
  • Los scripts a menudo se almacenan con permisos que le permiten modificarlos.
  • Instaladores de MSI que se implementan automáticamente
  • de nuevo, a menudo almacenado en algún lugar que le otorgará modificar permisos.
  • Buenas contraseñas de Preferencias de política de grupo anticuadas.
  • Entradas de registro de Autologon que contienen credenciales.
  • Otros creds se almacenan en el registro para cosas divertidas como VNC.
  • Tareas programadas con credenciales almacenadas.
  • También suele ejecutar cosas desde archivos compartidos poco seguros.
  • Derechos de los usuarios
  • Es útil para detectar dónde los administradores otorgaron accidentalmente acceso RDP a los “Usuarios del dominio” o esos derechos divertidos que le permiten ejecutar mimikatz incluso sin privilegios de administrador.
  • Ajustes a los permisos de archivos locales
  • Es bueno para encontrar esas máquinas donde los administradores acaban de marcar “Control total” para “Todos” en “C: \ Archivos de programa”.
  • Archivos compartidos
  • Archivos INI
  • Variables de entorno
  • Y más

Mientras que algunos nombres de funciones pueden incluir la palabra auditoría, Groper explícitamente NO pretende ser una auditoría exhaustiva para las mejores prácticas de configuraciones, etc. Si quieres eso, debes usar Microsoft SCT y LGPO.exe o algo así, dijeron profesionales de seguridad informática.

Uso

Genere un informe de GPO en una máquina con Windows con los cmdlets de Directiva de grupo instalados. Estos se instalan en Controladores de dominio de manera predeterminada, se pueden instalar en clientes de Windows que utilizan RSAT o se pueden habilitar a través del asistente “Agregar funciones” en los servidores de Windows.

Get-GPOReport -Todos -ReportType xml -Path C: \ temp \ gporeport.xml

Importar el módulo de Grouper.

Import-Module grouper.ps1

Ejecutar Grouper.

Invoke-AuditGPOReport -Path C: \ temp \ gporeport.xml

Parámetros

Los investigadores de seguridad informática  dijeron que también hay un par de parámetros con los que puede meterse y que alteran las configuraciones de políticas que Grouper le mostrará:

-showDisabled

De forma predeterminada, Grouper solo le mostrará los GPO que están actualmente habilitados y vinculados a una unidad organizativa en AD. Esto alterna ese comportamiento.

-Nivel

Grouper tiene 3 niveles de filtrado que puede aplicar a su salida.

  • Muéstrame todos los ajustes que puedas.
  • (Predeterminado) Muéstreme solo las configuraciones que parecen ‘interesantes’ pero pueden ser o no vulnerables.
  • Muéstreme solo las configuraciones que definitivamente son una mala idea y probablemente tengan certificaciones en ellas o de lo contrario me otorgarán la administración de un host.

El uso es directo. -Nivel 3, -Nivel 2, etc.

(Visited 507 times, 1 visits today)