L'administrateur local représente-t-il un danger pour un réseau correctement configuré?
J'ai lu cette question: Est-il courant d'autoriser l'accès administrateur local aux développeurs dans les organisations?
Cette question me fait réfléchir. Je peux voir comment l'accès administrateur local est un danger pour la machine. Mais un ordinateur avec un compte utilisateur avec accès administrateur local peut-il être un plus grand danger pour un réseau correctement configuré qu'un ordinateur qui n'a pas local accès administrateur? Si oui, comment?
L'accès administrateur local signifie qu'il est plus facile pour l'attaquant d'établir un contrôle persistant de l'hôte, d'installer des logiciels et de modifier les paramètres système, et de prendre des mesures comme renifler le réseau qui peuvent lui permettre de se déplacer latéralement sur d'autres systèmes.
Donc, oui, c'est un danger pour le réseau, en ce qu'il fournit à l'attaquant un accès plus stable à une plate-forme plus capable de mouvement latéral.
Le danger est un peu un mot fort. Je dirais que l'accès administrateur local présente des risques réseau supplémentaires par rapport à l'accès non administrateur.
L'accès administrateur permet à l'utilisateur d'exécuter un renifleur de paquets en mode promiscuous. Cela peut présenter des risques supplémentaires si le réseau en question est vulnérable aux attaques MiTM ou à d'autres informations sensibles non chiffrées qui traversent le réseau.
Vous devez comprendre ce risque dans le contexte des utilisateurs ayant normalement un accès physique au réseau. Un initié malveillant disposant d'un accès physique au câble réseau pourrait simplement brancher son propre appareil sur le réseau auquel il a également accès root/admin, et sniffer les paquets et effectuer les mêmes attaques sans accès root sur sa propre machine.
C'est bien plus dangereux que la plupart des gens ne le pensent. Lorsque nous avons débattu de ce que quelqu'un pouvait faire à partir de l'administrateur local (compte local, pas de compte de domaine) sur une machine jointe au domaine, j'ai dit "Voulez-vous savoir?" Personne ne l'a fait. Il s'est avéré qu'ils voulaient débattre de la théorie mais ne pas la mettre à l'épreuve.
J'ai argumenté sur l'autre question contre quoi vous défendez-vous. Eh bien voici le truc. La prochaine fois que quelqu'un d'autre se connecte à la machine en question, l'administrateur local peut se faire passer pour cet utilisateur. S'il s'agissait d'un accès réseau partagé, l'emprunt d'identité ne peut être utilisé que pendant quelques minutes. Mais quelques secondes d'administrateur de domaine suffisent pour créer un service sur un partage réseau sur le contrôleur de domaine.
Autrefois, c'était encore pire. La machine peut attaquer MITM n'importe qui sur le réseau qui n'est pas spécifiquement défendu contre l'usurpation d'arp. Jusqu'à récemment, c'était la fin du jeu, mais MS a finalement mis la main à la pâte et a fermé SMB contre MITM en corrigeant le package d'authentification et en effectuant en fait un changement incompatible en arrière afin qu'il reste fixe.
Mais ne pas permettre au développeur d'accéder à Internet VLAN) est stupide.
Pourtant, cela n'arrive presque jamais. La menace d'être renvoyé et poursuivi empêche les développeurs de tout faire comme ça, et pour une raison quelconque, le malware Internet-bourne n'utilise pas ce genre de choses. Encore une fois, contre quoi vous défendez-vous vraiment? Les développeurs peuvent probablement prendre le relais de toute façon . Vous devez installer les mises à jour de version sur la production tôt ou tard.
Oui, c'est dangereux.
En 2014, j'ai eu un cas qui ressemblait à ceci:
- Un développeur avec des droits d'administrateur local prend possession de
utilman.exe, qui est une application facile d'accès - Remplacer
utilman.exeparcmd.exe(qui est également signé par Microsoft, donc un contrôle de signature ne le révèle pas) - Redémarrez le PC et cliquez sur l'icône d'accessibilité
Voilà, vous avez une console avec les droits NT Authority/System. Vous pouvez désormais espionner les informations d'identification de processus critiques tels que LSASS (par exemple, en utilisant Mimikatz ). Si vous pouvez tromper votre administrateur (ingénierie sociale) pour vous connecter à distance à votre PC, vous avez ses informations d'identification.
Si vous ne le pouvez pas, installez simplement un service qui s'exécute également avec les droits système. Vous pouvez ensuite annuler le piratage et laisser simplement le service attendre plus longtemps pour collecter les informations d'identification pour vous.
Il semble que cela n'a pas été résol dans Windows 10.
L'accès administrateur signifie que vous pouvez exécuter certains outils nécessitant des privilèges. Les renifleurs de paquets sont mentionnés l'un par l'autre. Un autre exemple est un ARP-spoofer/poisoner pour les attaques MitM, ou un imitateur mDNS/NBT-NS (par exemple, Responder). Généralement, tout outil nécessitant un accès réseau de bas niveau ou la possibilité d'ouvrir certains ports protégés est plus susceptible de nécessiter un accès administrateur.
En outre, être un administrateur local par rapport à un non-administrateur signifie que vous allez pouvoir accéder à certaines choses sur cette machine qui pourraient vous permettre de pivoter vers d'autres, par exemple en utilisant mimikatz pour vider les mots de passe AD stockés, accéder au registre complet sur Windows, installer des comptes croisés keyloggers (c'est-à-dire en tant que démon/service), etc.
C'est honnêtement jour et nuit d'avoir un accès administrateur pour ne pas; c'est la raison pour laquelle des choses comme OSCP se concentrent si fortement sur l'escalade des privilèges d'apprentissage, et pas seulement sur le point de départ.
Eh bien, juste un exemple. Supposons que vous disposiez d'un réseau raisonnablement sécurisé avec un pare-feu qui autorise un accès complet http/https sortant depuis les bureaux des utilisateurs, et aucun autre accès entrant ou sortant depuis ces machines, et certains autres protocoles pour les serveurs internes (DNS, courrier, etc.)
Un administrateur local peut configurer un proxy https depuis son bureau vers un relais externe et l'utiliser pour contourner complètement les règles de pare-feu. Cela peut même être fait pour des raisons bonnes car cela permet de continuer à travailler ou à tester depuis chez soi. Mais cela va juste à l'encontre de l'objectif du pare-feu d'entreprise ...
Cela dépend de ce que vous entendez par "réseau correctement configuré".
Si vous configurez votre réseau pour traiter chaque hôte sur celui-ci comme potentiellement malveillant, probablement compromis et une source possible d'attaque, l'accès administrateur local n'est pas un danger (que vous n'attendez pas déjà).
Dans le monde réel, tout réseau interne et la plupart des réseaux de centres de données sont configurés avec une hypothèse de n certain niveau de confiance, ce qui signifie qu'ils sont au moins plus fiables que l'extérieur/Internet.
L'administrateur local conteste cette hypothèse. Notez que j'ai dit "défis", pas "pauses".
Vous devez vous demander à quel point vos administrateurs locaux sont dignes de confiance, à la fois à l'échelle de l'action intentionnelle et à l'échelle des erreurs et des erreurs. C'est maintenant votre niveau de confiance sur le réseau.
La réponse à ta question est oui." L'attaquant peut très facilement convertir la machine en zombie et effectuer des tâches malveillantes (avec les droits d'administrateur complets) sur votre réseau.
L'une des attaques les plus difficiles à atténuer est la "Insider Attack." Dans votre cas, vous autorisez un attaquant à effectuer des attaques depuis votre réseau interne avec tous les droits sur un zombie (machine compromise).