טיוב - זה חשוב

מזמן, בשנים 2008-2009, כשעשיתי בדיקת חדירה באחת החברות, נודע לנו שהחברה הזו נותנת לעובדיה גישה דרך Citrix מהאינטרנט לאפליקציות פנימיות, ובינהן גם ל Microsoft Office.

קיבלתי גישה בתור משתמש פשוט מהחברה והתחלתי בדיקות. נכנסתי ל MS Word והדבר הראשון, שבדקתי האם יש אפשרות לגשת לכתיבת  VBS(ב-Developer Tab). אכן האפשרות היתה (לא ביצעו הקשחה ברמת האפליקציה), וע"י 2 שורות קוד הפעלתי cmd.exe (לא ביצעו הקשחה ברמת מערכת ההפעלה).


לאחר זאת בדקתי האם קיימת אפשרות לצאת לאינטרנט, ping החוצה, ואכן מהשרת היתה תקשורת החוצה - עוד ממצא.
לאחר מזה הפעלתי ftp והורדתי מהשרת שלי כמה כלים: nmap, plink וכו'.

באותה תקופה היה exploit נחמד (MS08-067) שפתח הרבה דלתות (כי בחברות באותה תקופה לא טרחו לעשות עדכוני אבטחת מידע). אז אחרי שהורדתי כלים יצרתי ssh tunnel לשרת שלי עם  port forwarding עבור פורט 445, ומהשרת הפעלתי את ה-exploit והגעתי להרשאות גבוהות. כמובן יצרתי משתמש שלי עם הרשאות ניהוליות, ואחרי זה סרקתי רשת ומצאתי את ה-dc. גם על ה-dc הפעלתי את ה-exploit דרך ה tunnel וגם שם יצרתי משתמש. בשביל POC של חדירה זה היה מספיק.

אז מה המסקנות מחדירה זו? צריך לבדוק ולהגדיר היטב מה שמפבלשים החוצה. צריך לעשות הקשחות כן ברמת מערכת ההפעלה, וכן ברמת האפליקציות המופעלות כגון MS Office. וכמובן לא לתת לשרתים לצאת לאינטרנט.

ואם כבר דברנו על VBS/VBA, האם הארגון שלכם בודק מיילים עם צרופת Word עם מקרו ?



תגובות

פוסטים פופולריים מהבלוג הזה

גישה פיסית - game over

הגנה על WEB SERVICES

תרגיל סייבר