top of page

PEN-TEST RAPPORT




PEN-TEST RAPPORT RED MANGO 1 Opdrachtgever: ADNAN ENTERPRISE Opdrachtnemer: Peter Oldenburger CyberSecurityAD University of Applied Sciences Amsterdam Datum: 04-04-2024 Plaats: Amsterdam Land: NL Versie: 1.0 Vertrouwelijk 2 3 Contents Managementsamenvatting.................................................................................................. 6 Inleiding............................................................................................................................... 7 Achtergrond ........................................................................................................................ 8 Methodologie ...................................................................................................................... 9 Fase 1: Informatie Verzamelen ............................................................................................ 9 Fase 2: Dreigingsmodellering .............................................................................................. 9 Fase 3: Kwetsbaarheidsanalyse ........................................................................................ 10 Fase 4: Exploitatie ............................................................................................................. 10 Fase 5: Post-Exploitatie ..................................................................................................... 10 Kwetsbaarheden in het Systeem ....................................................................................... 11 Manipulation of Temp Directories ..................................................................................... 11 Onbeheerde Bestanden - Unattend.xml ............................................................................ 12 Unquoted Service Path ...................................................................................................... 13 Beschrijving ....................................................................................................................... 13 Getroffen Services ............................................................................................................ 13 Risico ................................................................................................................................ 14 Aanbevelingen ................................................................................................................... 14 Reconnaissance (Verkenning) ........................................................................................... 15 User Identity (Gebruikersidentiteit) ................................................................................... 15 User Groups (Gebruikersgroepen) ..................................................................................... 15 Kwetsbaarheden die vaak voorkomen .............................................................................. 16 Vulnerable Kernel Drivers .................................................................................................. 16 Beschrijving ....................................................................................................................... 16 Getroffen Drivers ............................................................................................................... 16 Risico ................................................................................................................................ 16 Aanbevelingen ................................................................................................................... 17 Onjuiste Bestands- en Directorypermissies ...................................................................... 18 SMB Shares Ongepaste Toegangsrechten ......................................................................... 19 Misbruik van Systeem Privileges ....................................................................................... 20 Startup Applications ......................................................................................................... 21 Beschrijving ....................................................................................................................... 21 4 Getroffen Toepassingen .................................................................................................... 21 Risico ................................................................................................................................ 22 Aanbevelingen ................................................................................................................... 22 Running Processes ............................................................................................................ 23 Beschrijving ....................................................................................................................... 23 Getroffen Processen ......................................................................................................... 23 Risico ................................................................................................................................ 24 Aanbevelingen ................................................................................................................... 24 Credential Access ............................................................................................................. 25 Unattend File Credentials ................................................................................................. 25 Beschrijving ........................................................................................................................ 25 Risico: Medium ................................................................................................................... 25 Aanbevelingen .................................................................................................................... 25 Beschrijving ........................................................................................................................ 25 Risico: Medium ................................................................................................................... 25 Aanbevelingen .................................................................................................................... 26 Vault Credentials ............................................................................................................... 26 Beschrijving ........................................................................................................................ 26 Risico: Informatief ............................................................................................................... 26 Aanbevelingen .................................................................................................................... 26 Windows Registery ............................................................................................................ 27 AdministratorToken/Filter ................................................................................................. 27 Beschrijving ....................................................................................................................... 27 Risico: Middel .................................................................................................................... 27 Aanbevelingen ................................................................................................................... 27 LSA Protection ................................................................................................................... 28 Beschrijving ....................................................................................................................... 28 Risico: Laag ....................................................................................................................... 28 Aanbevelingen ................................................................................................................... 28 Credential Guard ............................................................................................................... 29 Beschrijving ....................................................................................................................... 29 Risico: Laag ....................................................................................................................... 29 Aanbevelingen ................................................................................................................... 29 5 UEFI & Secure Boot ............................................................................................................ 30 Beschrijving ....................................................................................................................... 30 Risico: Laag ....................................................................................................................... 30 Aanbevelingen ................................................................................................................... 30 LAPS (Local Administrator Password Solution) ................................................................. 31 Beschrijving ....................................................................................................................... 31 Risico: Medium .................................................................................................................. 31 Aanbevelingen ................................................................................................................... 31 BitLocker Configuratie ....................................................................................................... 32 Beschrijving ....................................................................................................................... 32 Risico: Hoog ...................................................................................................................... 32 Aanbevelingen ................................................................................................................... 32 File Extension Associations............................................................................................... 33 Beschrijving ....................................................................................................................... 33 Risico: Laag ....................................................................................................................... 33 Aanbevelingen ................................................................................................................... 33 Driver Co-installers ........................................................................................................... 34 Beschrijving ....................................................................................................................... 34 Risico: Kwetsbaar - Laag ................................................................................................... 34 Aanbevelingen ................................................................................................................... 34 Administrator Wachtwoord-exfiltratie ............................................................................... 35 Beschrijving ....................................................................................................................... 35 Risico: Hoog ...................................................................................................................... 36 Aanbevelingen ................................................................................................................... 36 Conclusie .......................................................................................................................... 39 Managementsamenvatting Dit rapport presenteert de bevindingen van een uitgebreide beveiligingsbeoordeling uitgevoerd op RED MANGO, recent overgenomen door ADNAN ENTERPRISE. De evaluatie is gericht op het identificeren van potentiële insider threats en het evalueren van de beveiligingspositie van het bedrijf. Door een reeks red-teamoefeningen te implementeren, onderzocht ik de toegankelijkheid van low privilege naar local-admin rechten binnen het netwerk van RED MANGO. De resultaten benadrukken significante beveiligingsrisico's, waar u nu tijdig bij kan zijn om explotaitie te voorkomen! Peter Oldenburger, 2024. 6 Inleiding Met de recente acquisitie van RED MANGO door ADNAN ENTERPRISE, is het van cruciaal belang om een gedetailleerde beveiligingsbeoordeling uit te voeren om de huidige staat van cybersecurity binnen het overgenomen bedrijf te begrijpen. Deze beoordeling is vooral belangrijk gezien de beperkte ervaring van de enige IT medewerker van RED MANGO, Hans, met Windows-gebaseerde systemen en algemene beveiligingspraktijken. Het doel van deze beveiligingsbeoordeling is om eventuele kwetsbaarheden te identificeren en te exploiteren die aanwezig zijn binnen het netwerk van RED MANGO, met bijzondere aandacht voor insider threats. De aanpak van deze beoordeling is in lijn met de Penetration Testing Execution Standard (PTES) en omvat verschillende fasen, waaronder Informatie Verzamelen, Dreigingsmodellering, Kwetsbaarheidsanalyse, Exploitatie, en Post-Exploitatie. Dit uitgebreide onderzoek zal ADNAN ENTERPRISE niet alleen een duidelijk beeld geven van de beveiligingsrisico's die gepaard gaan met de overname van RED MANGO, maar zal ook strategische aanbevelingen bieden om deze risico's te mitigeren en de algemene beveiligingspostuur van het bedrijf te versterken. 7 Achtergrond RED MANGO, een klein bedrijf gespecialiseerd in digitale marketingoplossingen, is onlangs overgenomen door ADNAN ENTERPRISE, een groot en gevestigd bedrijf met een brede portfolio in diverse industrieën. De overname is onderdeel van de strategische uitbreiding van ADNAN ENTERPRISE om zijn digitale aanwezigheid en technologische capaciteiten te versterken. Ondanks zijn kleine omvang, heeft RED MANGO een aanzienlijke impact gehad in zijn sector, dankzij zijn innovatieve aanpak en unieke digitale marketingstrategieën. Het IT-landschap van RED MANGO wordt beheerd door Hans. Echter, Hans' expertise ligt voornamelijk in niet-Windows-omgevingen, en zijn ervaring met Windows-gebaseerde systemen en netwerkbeveiliging is beperkt. Dit vormt een significant risico voor ADNAN ENTERPRISE, gezien haar IT-infrastructuur voornamelijk op Windows is gebaseerd. Bovendien heeft Hans weinig kennis van cybersecuritypraktijken, wat de urgentie vergroot om de beveiligingspositie van RED MANGO grondig te evalueren. De integratie van RED MANGO binnen het netwerk van ADNAN ENTERPRISE vereist een zorgvuldige beoordeling van de beveiligingsrisico's en potentiële kwetsbaarheden die kunnen leiden tot insider threats. Insider threats zijn bijzonder zorgwekkend, omdat ze kunnen voortkomen uit zowel onwetendheid als kwaadwilligheid. In het geval van RED MANGO, met slechts één IT-medewerker, is de kans op onbedoelde configuratiefouten, instellingen en geen goede beveiligingspraktijken hoog, wat het risico op datalekken en andere beveiligingsincidenten verhoogt. De beveiligings audit door CyberSecurityAD.com heeft het doel met deze beveiligingsbeoordeling is niet alleen om de kwetsbaarheden te identificeren, maar ook om een duidelijk pad voor te stellen voor het verbeteren van de beveiligingspositie van RED MANGO, een WIN-WIN situatie voor beide bedrijven 8 Methodologie Hoe gaan wij van CyberSecurityAd te werk? De methodologie die gevolgd werd voor de beveiligingsbeoordeling van RED MANGO valt binnen het kader van de Penetration Testing Execution Standard (PTES) en is aangepast om specifiek de insider threat vector en de overgang van low privilege naar local-admin rechten binnen het IT-landschap van RED MANGO te beoordelen. Deze aanpak is gestructureerd in verschillende fasen, elk ontworpen om een systematische en grondige evaluatie van het beveiligingspostuur van het bedrijf te bieden. Fase 1: Informatie Verzamelen In deze eerste fase wordt uitgebreide informatie verzameld over de IT-infrastructuur van RED MANGO, waaronder netwerkstructuren, gebruikte systemen en software, en de configuraties van essentiële beveiligingsmechanismen. Deze fase omvat ook het verzamelen van gegevens over de werknemers en hun toegangsniveaus binnen het IT-systeem. Open-source intelligence (OSINT) technieken en interne documenten die door ADNAN ENTERPRISE beschikbaar zijn gesteld, worden gebruikt om een volledig beeld te krijgen van de digitale omgeving van RED MANGO. Fase 2: Dreigingsmodellering Gebaseerd op de verzamelde informatie, wordt een dreigingsmodel ontwikkeld dat specifiek gericht is op insider threats. Dit model helpt bij het identificeren van potentiële kwetsbaarheden die door insiders misbruikt kunnen worden, zoals onvoldoende beveiligde administratoraccounts, zwakke wachtwoordbeleiden, en gebrek aan segmentatie binnen het netwerk. De focus ligt op het begrijpen van hoe een aanvaller met beperkte toegang kan escaleren naar uitgebreidere privileges binnen het systeem. 9 Fase 3: Kwetsbaarheidsanalyse Met het dreigingsmodel als leidraad, wordt een kwetsbaarheidsanalyse uitgevoerd om specifieke zwakke punten binnen de IT-infrastructuur van RED MANGO te identificeren. Deze analyse gebruikt een combinatie van geautomatiseerde tools en handmatige technieken om zowel bekende als onbekende kwetsbaarheden te ontdekken die een insider kan exploiteren. Fase 4: Exploitatie In deze fase worden de geïdentificeerde kwetsbaarheden actief geëxploiteerd in een gecontroleerde omgeving om te demonstreren hoe een insider toegang zou kunnen krijgen tot gevoelige systemen of informatie. Deze exploitatie wordt uitgevoerd met de nadruk op ethiek en verantwoordelijkheid, waarbij wordt gezorgd dat de operaties geen schade aanrichten aan de IT-systemen of gegevens van RED MANGO. Fase 5: Post-Exploitatie Na succesvolle exploitatie wordt onderzocht hoe ver een aanvaller kan doordringen binnen het netwerk en welke gevoelige informatie of systemen bereikbaar zijn. Dit omvat het beoordelen van de impact van de exploitatie en het identificeren van aanvullende kwetsbaarheden die tijdens het proces aan het licht zijn gekomen. 10 Kwetsbaarheden in het Systeem Manipulation of Temp Directories • Beschrijving: De originele C:\\Temp directory is hernoemd naar C:\\Temp2, met een nieuwe C:\\Temp directory die een netcheck.bat batchbestand bevat. Dit bestand creëert een nieuw administratoraccount bij systeemopstart. • Technieken: MITRE ATT&CK T1547 (Boot or Logon Autostart Execution), T1564 (Hide Artifacts). • Risico: Hoog. • Aanbevelingen: Implementeer bestandsintegriteitsmonitoring en beheer strikte toegangscontroles om ongeautoriseerde wijzigingen te detecteren en te voorkomen. Voer regelmatige beveiligingsaudits uit om niet-geautoriseerde wijzigingen te identificeren en aan te pakken. 11 Onbeheerde Bestanden - Unattend.xml • Beschrijving: Het Unattend.xml bestand in C:\\Windows\\Panther bevat gevoelige informatie, waaronder in plain text gecodeerde wachtwoorden (Base64), wat ongeautoriseerde toegang tot systeembronnen mogelijk maakt. • Technieken: MITRE ATT&CK T1552.004 (Unsecured Credentials: Private Keys). • Risico: Hoog. • Aanbevelingen: Verwijder het Unattend.xml bestand en soortgelijke bestanden na gebruik. Implementeer encryptie voor het opslaan van gevoelige informatie om de veiligheid van inloggegevens en configuratiebestanden te waarborgen. 12 Unquoted Service Path Beschrijving Het pad naar de uitvoerbare bestanden van verschillende services, zoals aangegeven in de ImagePath-eigenschap, wordt niet consequent tussen aanhalingstekens geplaatst. Dit kan leiden tot een beveiligingsrisico, bekend als "Unquoted Service Path Vulnerability". Wanneer Windows een service start waarvan het pad niet tussen aanhalingstekens staat en spaties bevat, probeert het elk mogelijk pad te interpreteren tot het een uitvoerbaar bestand vindt. Bijvoorbeeld, voor een service met het pad C:\\Program Files\\DMT Service\\dmtservice.exe, kan Windows eerst proberen te starten C:\\Program.exe, dan C:\\Program Files\\DMT.exe, enzovoort, tot het een uitvoerbaar bestand vindt. Als een aanvaller in staat is om een kwaadaardig Program.exe of DMT.exe bestand te plaatsen op een van de geïnterpreteerde paden, kan dit bestand worden uitgevoerd met dezelfde rechten als de service (vaak LocalSystem), wat leidt tot privilege escalatie. Getroffen Services • DMT Service (dmtsvc) - Path: C:\\Program Files\\DMT Service\\dmtservice.exe • UNQ Service (unqsvc) - Path: C:\\Program Files\\UNQ Service\\Common Files\\unqpathsvc.exe • VirtualBox Guest Additions Service (VBoxService) - Path: C:\\Windows\\System32\\VBoxService.exe Deze services gebruiken paden zonder aanhalingstekens, waardoor ze kwetsbaar zijn voor deze exploitatie techniek. 13 Risico Hoog. Deze kwetsbaarheid kan leiden tot het uitvoeren van willekeurige code met systeemprivileges, waardoor een aanvaller volledige controle over het getroffen systeem kan verkrijgen. Aanbevelingen • Citeren van Paden: Zorg ervoor dat het pad naar de service-uitvoerbare bestanden altijd tussen aanhalingstekens staat in het register. Bijvoorbeeld: "C:\\Program Files\\DMT Service\\dmtservice.exe". • Bestandspermissies: Beperk de schrijftoegang tot de directories die in de paden van de service-uitvoerbare bestanden worden gebruikt, vooral de Program Files en Windows\\System32 directories, tot alleen beheerdersaccounts. • Regelmatige Controles: Voer regelmatige scans uit op systemen om ongeciteerde servicepaden te identificeren en corrigeer ze waar nodig. • Principle of Least Privilege: Draai services waar mogelijk met minimale rechten in plaats van met LocalSystem-rechten. 14 Reconnaissance (Verkenning) User Identity (Gebruikersidentiteit) • Beschrijving: Het systeem onthult gedetailleerde informatie over de huidige gebruikersaccount, waaronder naam, domeinnaam, SID, integriteitsniveau, sessie ID, en authenticatie-ID. Deze informatie kan worden misbruikt door een aanvaller om verder inzicht te krijgen in systeemconfiguraties en -privileges. • Risico: Middel. • Aanbevelingen: Minimaliseer de hoeveelheid informatie die beschikbaar is voor ongeauthenticeerde gebruikers. Implementeer beleid en technologieën voor sterke authenticatie en autorisatiecontroles. User Groups (Gebruikersgroepen) • Beschrijving: Informatie over de groepen waartoe de huidige gebruiker behoort, inclusief namen, typen en SIDs, is toegankelijk. Dit kan leiden tot potentieel misbruik in privilege escalatie-aanvallen of gerichte aanvallen op specifieke gebruikersgroepen. • Risico: Middel. • Aanbevelingen: Beperk de zichtbaarheid van groepslidmaatschap informatie tot geautoriseerde gebruikers. Herzie en versterk de groepslidmaatschap configuraties om te zorgen voor principe van least privilege. 15 Kwetsbaarheden die vaak voorkomen Vulnerable Kernel Drivers Beschrijving De beveiligingsbeoordeling omvatte een evaluatie van geïnstalleerde kernelstuurprogramma's van derden om vast te stellen of er bekende kwetsbaarheden in deze stuurprogramma's aanwezig zijn. Deze evaluatie werd uitgevoerd door de bestandshash van elk stuurprogramma te berekenen en deze te vergelijken met een database van bekende kwetsbaarheden. Kernelstuurprogramma's zijn een kritisch onderdeel van het besturingssysteem met uitgebreide privileges; kwetsbaarheden binnen deze componenten kunnen leiden tot ernstige beveiligingsrisico's, waaronder systeemcompromissen en privilege escalatie. Getroffen Drivers Een aantal geïdentificeerde kernelstuurprogramma's van derden die niet door Microsoft zijn gepubliceerd, kunnen potentiële kwetsbaarheden bevatten. Specifieke details over welke stuurprogramma's kwetsbaarheden bevatten, werden niet verschaft, maar de aanwezigheid van stuurprogramma's van fabrikanten zoals AMD, Intel, LSI, Mellanox, en Avago wijst op een divers ecosysteem van hardware en drivers die onderhevig kunnen zijn aan kwetsbaarheden. Risico Zeer hoog. Kwetsbaarheden in kernelstuurprogramma's kunnen aanvallers in staat stellen om volledige controle over het getroffen systeem te verkrijgen. Dit komt door de hoge mate van toegang en controle die kernelstuurprogramma's hebben binnen het besturingssysteem. 16 Aanbevelingen • Patches en Updates: Zorg ervoor dat alle geïnstalleerde kernelstuurprogramma's up-to-date zijn met de laatste patches en updates van de fabrikant. Fabrikanten brengen regelmatig updates uit om bekende kwetsbaarheden aan te pakken. • Beperk Gebruik van Derden Drivers: Evalueer de noodzaak van elke derde partij driver geïnstalleerd op het systeem. Verwijder indien mogelijk niet-essentiële drivers of vervang ze door meer veilige alternatieven. • Gebruik Vertrouwde Bronnen: Download en installeer drivers alleen van vertrouwde en officiële bronnen. Dit vermindert het risico van het installeren van gecompromitteerde of kwaadaardige stuurprogramma's. • Beveiligingsaudits: Voer regelmatige beveiligingsaudits en kwetsbaarheidsscans uit om potentiële risico's en kwetsbaarheden binnen het systeem te identificeren en aan te pakken. • Zero Trust Security Model: Implementeer een Zero Trust-beveiligingsmodel dat vereist dat alle apparaten, gebruikers en services worden geverifieerd en geautoriseerd voordat ze toegang krijgen tot netwerkbronnen 17 Onjuiste Bestands- en Directorypermissies • Beschrijving: Onjuiste permissies ingesteld op C:\\Program Files\\Autorun Program\\program.exe, waarbij de identiteit 'Everyone' volledige controle ('FullControl') heeft. Dit laat ongeautoriseerde gebruikers toe om het bestand te wijzigen of te vervangen door kwaadaardige varianten. • Risico: Hoog. • Aanbevelingen: Corrigeer de bestands- en directorypermissies om alleen vertrouwde gebruikers en groepen volledige controle te geven. Gebruik de Windows Security tab of icacls commando in de terminal om de permissies te herzien en te beperken. Voorbeeld: bashCopy code icacls "C:\\Program Files\\Autorun Program\\program.exe" /reset icacls "C:\\Program Files\\Autorun Program" /grant Administrators:F /grant System:F 18 SMB Shares Ongepaste Toegangsrechten • Beschrijving: SMB Shares, specifiek DevelopmentFiles, hebben voor de identiteit 'Everyone' volledige toegang ('Full'). Dit kan leiden tot ongeautoriseerde toegang en manipulatie van gedeelde bestanden. • Risico: Hoog. • Aanbevelingen: Beperk de SMB Share toegangsrechten door deze alleen toe te wijzen aan specifieke gebruikers of groepen. Gebruik Windows File Share instellingen of PowerShell commando's om de toegangsrechten aan te passen. Voorbeeld: javascriptCopy code Set-SmbShare -Name DevelopmentFiles -FullAccess Administrators ChangeAccess 'Domain Users' -ReadAccess 'Authenticated Users' 19 20 Misbruik van Systeem Privileges • Beschrijving: Systeemprivileges zoals SeDebugPrivilege en SeImpersonatePrivilege zijn ingeschakeld, wat misbruikscenario's mogelijk maakt zoals privilege escalatie. • Risico: Zeer Hoog. • Aanbevelingen: Beperk de toewijzing van geavanceerde systeemprivileges tot alleen de noodzakelijke accounts. Monitor en herzie regelmatig de privilege toewijzingen via Groepsbeleid of lokale beveiligingsbeleid instellingen. Startup Applications Beschrijving Bij de evaluatie van toepassingen die system-wide starten bij het opstarten van Windows voor alle gebruikers, zijn verschillende toepassingen geïdentificeerd die mogelijk veiligheidsrisico's met zich mee brengen. Startup toepassingen worden uitgevoerd met de rechten van de inloggende gebruiker en kunnen, indien misbruikt, een vector voor kwaadwillende activiteiten bieden, zoals persistente toegang of het uitvoeren van malware bij elke systeemstart. Getroffen Toepassingen 1. SecurityHealth o Path: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SecurityHealth o Data: %windir%\system32\SecurityHealthSystray.exe o IsModifiable: True o Dit lijkt een legitieme toepassing van Windows te zijn, maar de modificeerbaarheid ervan kan risico's opleveren als kwaadwillenden toegang krijgen tot het systeem en deze instelling wijzigen. 2. My Program o Path: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\My Program o Data: "C:\Program Files\Autorun Program\program.exe" o IsModifiable: True o De naam en het pad suggereren dat dit een niet-standaard toepassing is die mogelijk ongewenste of kwaadaardige code bevat. De mogelijkheid om deze invoer te wijzigen verhoogt het risico op misbruik. 21 3. VBoxTray o Path: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\VBoxTray o Data: %SystemRoot%\system32\VBoxTray.exe o IsModifiable: True o Hoewel gerelateerd aan de legitieme VirtualBox Guest Additions, kan de modificeerbaarheid van deze toepassing een aanvalsvector bieden als het systeem gecompromitteerd is. Risico Middel tot Hoog. De aanwezigheid en modificeerbaarheid van niet-standaard of onnodige opstarttoepassingen kunnen kwaadwillenden een mechanisme bieden voor persistentie, privilege escalatie of uitvoering van kwaadaardige activiteiten zonder directe interactie van de gebruiker bij elke opstart. Aanbevelingen • Review en Audit: Voer regelmatig audits uit op startup toepassingen om niet geautoriseerde of verdachte items te identificeren. Verwijder of schakel toepassingen uit die niet nodig zijn voor zakelijk gebruik. • Beperk Schrijftoegang: Beperk de mogelijkheid om wijzigingen aan te brengen in de registersleutels die worden gebruikt om opstarttoepassingen te beheren tot alleen beheerdersaccounts. • Gebruik van Beveiligingssoftware: Implementeer en onderhoud betrouwbare antivirus- en antimalware-oplossingen die kunnen helpen bij het identificeren en neutraliseren van kwaadaardige toepassingen die zich bij het opstarten proberen te nestelen. • Principle of Least Privilege: Zorg ervoor dat gebruikersaccounts met minimale rechten werken waar mogelijk om de impact van kwaadaardige toepassingen te minimaliseren. • Monitoring en Logging: Zet systemen op voor het monitoren van registrywijzigingen en het vastleggen van logs, om ongeautoriseerde wijzigingen snel te kunnen identificeren en te reageren. 22 Running Processes Beschrijving Bij de evaluatie van momenteel draaiende processen die niet toebehoren aan de huidige gebruiker, zijn verschillende systeem- en serviceprocessen geïdentificeerd. Terwijl de meeste van deze processen legitieme componenten van het Windows besturingssysteem lijken te zijn, kan de aanwezigheid van bepaalde processen, afhankelijk van de context en configuratie, wijzen op potentiële veiligheidsrisico's of punten van belang voor een grondigere beoordeling. Getroffen Processen Enkele opmerkelijke processen die verdere inspectie kunnen vereisen zijn: • dllhost.exe (COM Surrogate): Hoewel dit een legitiem Windows-proces is, wordt het soms misbruikt door malware om kwaadaardige code uit te voeren of te maskeren. • fontdrvhost.exe (Font Driver Host): Noodzakelijk voor het renderen van lettertypen, maar kan kwetsbaarheden bevatten of worden misbruikt in geavanceerde aanvalsscenario's. • lsass.exe (Local Security Authority Subsystem Service): Essentieel voor Windows beveiliging, maar een bekend doelwit voor aanvallen zoals credential dumping. • SearchIndexer.exe (Windows Search Indexer): Helpt bij het verbeteren van zoekprestaties maar kan soms bronnen intensief zijn of misbruikt worden door kwaadwillende actoren. • spoolsv.exe (Print Spooler Service): Heeft in het verleden meerdere kwetsbaarheden gehad, zoals de beruchte PrintNightmare kwetsbaarheid. • VBoxService.exe (VirtualBox Guest Additions Service): Legitiem in virtualisatiecontexten, maar aanwezigheid op een niet-gevirtualiseerde host kan wijzen op ongeautoriseerde virtualisatie of andere kwaadaardige activiteiten. • uhssvc.exe (Microsoft Update Health Tools): Betrekkelijk nieuw proces gerelateerd aan Windows-updateprocessen; configuratie en werking moeten worden gecontroleerd op naleving van het beveiligingsbeleid. 23 Risico Varieert van Laag tot Hoog, afhankelijk van de specifieke context en hoe deze processen zijn geconfigureerd of worden gebruikt binnen de omgeving. Processen die onder system of NT AUTHORITY\SYSTEM privileges draaien, hebben uitgebreide toegang tot het systeem, waardoor kwetsbaarheden of misbruik in deze processen bijzonder zorgwekkend zijn. Aanbevelingen • Beveiligingsbeoordeling en Patch Management: Voer regelmatige beveiligingsbeoordelingen en patch management uit voor alle systemen om ervoor te zorgen dat bekende kwetsbaarheden worden aangepakt. • Monitoring en Analyse: Implementeer geavanceerde monitoring en logboekregistratie voor kritieke processen om ongeautoriseerde of verdachte activiteiten te detecteren. • Principe van Minste Privileges: Zorg ervoor dat alle services en processen met de minimale benodigde privileges draaien om hun taken uit te voeren. • Incident Response Plan: Ontwikkel en onderhoud een incidentresponsplan dat specifiek omgaat met scenario's waarbij kritieke systeemprocessen gecompromitteerd zijn. • Gebruik van Security Tools: Gebruik betrouwbare security tools voor het scannen en detecteren van mogelijke malware of rootkits die zich als legitieme processen kunnen vermommen. 24 Credential Access Unattend File Credentials Beschrijving Unattend-bestanden, zoals Unattend.xml, worden gebruikt tijdens geautomatiseerde Windows-installaties om verschillende installatieopties te specificeren, inclusief inloggegevens voor automatische aanmelding. Het gevonden bestand bevat in platte tekst gespecificeerde credentials, wat een significant beveiligingsrisico vormt. Risico: Medium Het opslaan van wachtwoorden in platte tekst in configuratiebestanden kan leiden tot ongeautoriseerde toegang als een aanvaller fysieke of remote toegang tot het bestand krijgt. Aanbevelingen • Verwijder Unattend.xml en vergelijkbare bestanden na gebruik of zorg ervoor dat ze niet op een toegankelijke locatie worden opgeslagen. • Als automatische aanmelding nodig is voor installatie of setup processen, verwijder dan deze gegevens zodra ze niet meer nodig zijn en gebruik sterke wachtwoorden. WinLogon Credentials Beschrijving De WinLogon registry key kan configuratiegegevens bevatten voor automatische aanmelding, inclusief gebruikersnamen en wachtwoorden in platte tekst. Dit kan misbruikt worden voor ongeautoriseerde toegang tot het systeem. Risico: Medium Deze configuratie verhoogt het risico op ongeautoriseerde toegang aanzienlijk, vooral als een aanvaller lokale toegang tot de machine kan verkrijgen. 25 Aanbevelingen • Schakel automatische aanmelding uit door relevante registry-instellingen te wissen of aan te passen. • Gebruik beleidsinstellingen voor groepsbeleid om het gebruik van automatische aanmelding te beperken. Vault Credentials Beschrijving Hoewel er geen platte-tekstwachtwoorden werden gevonden in de huidige gebruiker's credential vault voor zowel Windows als webwachtwoorden, is het belangrijk om regelmatig te controleren of er geen gevoelige informatie onbeschermd wordt opgeslagen. Risico: Informatief De afwezigheid van gevonden kwetsbaarheden in deze categorie vermindert het directe risico, maar continue waakzaamheid is noodzakelijk om de veiligheid van credentials te waarborgen. Aanbevelingen • Gebruik een betrouwbare wachtwoordmanager met sterke encryptie voor het opslaan van wachtwoorden. • Voer regelmatig audits uit op credential opslaglocaties om zeker te zijn dat geen gevoelige informatie in platte tekst wordt opgeslagen. 26 Windows Registery AdministratorToken/Filter Beschrijving De FilterAdministratorToken-waarde in het Windows-register bepaalt of het ingebouwde administratoraccount (met relatieve ID (RID) 500) een hoog integriteitstoken ontvangt bij authenticatie op afstand. Standaard is deze instelling zodanig dat het administratoraccount een hoog integriteitstoken krijgt, wat een hoger risico op ongeautoriseerde toegang en mogelijk misbruik met zich meebrengt. Risico: Middel Deze configuratie kan het risico op elevatie van privileges en andere beveiligingsrisico's verhogen, vooral als aanvallers in staat zijn om op afstand authenticatie uit te voeren als de ingebouwde administrator. Aanbevelingen • Overweeg het instellen van de FilterAdministratorTokenwaarde op 1, om te vereisen dat de ingebouwde administratoraccount UAC-goedkeuring krijgt voor administratieve taken, zelfs bij authenticatie op afstand. • Gebruik sterke wachtwoorden voor alle accounts, inclusief de ingebouwde administratoraccount, en overweeg deze account uit te schakelen indien niet noodzakelijk. 27 LSA Protection Beschrijving Local Security Authority (LSA) Protection verhoogt de beveiliging van het lsass.exe proces door het als een Protected Process Light (PPL) te laten draaien, waardoor alleen andere beveiligde processen met een gelijkwaardig of hoger beveiligingsniveau er toegang toe hebben. Deze instelling is niet geconfigureerd, wat de LSA kwetsbaarder maakt voor aanvallen. Risico: Laag Het niet inschakelen van LSA Protection kan de kans vergroten dat aanvallers gevoelige informatie, zoals inloggegevens, uit het lsass.exe proces extraheren. Aanbevelingen • Schakel LSA Protection in door de RunAsPPLwaarde in HKLM\\SYSTEM\\CurrentControlSet\\Control\\Lsa in te stellen op 1. • Overweeg aanvullende beveiligingsmaatregelen om toegang tot gevoelige processen en gegevens te beschermen. 28 Credential Guard Beschrijving Credential Guard biedt geavanceerde bescherming van inloggegevens door ze te isoleren in een beveiligd proces (LsaIso.exe) dat niet toegankelijk is, zelfs niet als de kernel wordt gecompromitteerd. Deze functie is niet geconfigureerd of ingeschakeld op het systeem, waardoor inloggegevens kwetsbaarder zijn. Risico: Laag Het niet gebruiken van Credential Guard laat een systeem kwetsbaarder voor aanvallen die gericht zijn op het extraheren van inloggegevens, zoals Pass-the-Hash en andere credential diefstal technieken. Aanbevelingen • Schakel Credential Guard in indien ondersteund door de hardware en het besturingssysteem. Dit kan worden gedaan via Groepsbeleid of door het instellen van relevante waarden in de registersleutels HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceGuard en HKLM\\SYSTEM\\CurrentControlSet\\Control\\LSA. • Zorg ervoor dat systemen regelmatig worden bijgewerkt en gepatcht om bescherming tegen bekende aanvallen te waarborgen. Het identificeren en mitigeren van deze kwetsbaarheden kan aanzienlijk bijdragen aan het versterken van de beveiligingshouding van een systeem tegen aanvallen gericht op credential diefstal en ongeautoriseerde toegang. 29 UEFI & Secure Boot Beschrijving UEFI (Unified Extensible Firmware Interface) en Secure Boot zijn technologieën die de veiligheid van het opstartproces van een systeem verbeteren door te verzekeren dat alleen vertrouwde software wordt geladen tijdens het opstarten. Deze instellingen waren niet correct geconfigureerd of ingeschakeld, wat het systeem kwetsbaar maakt voor aanvallen zoals rootkits die op een dieper niveau van het systeem opereren. Risico: Laag Hoewel de afwezigheid van UEFI en Secure Boot een lager risiconiveau vertegenwoordigt, verhoogt het de mogelijkheid voor ongeautoriseerde of kwaadaardige software om tijdens het opstartproces te laden. Aanbevelingen • Schakel UEFI en Secure Boot in het BIOS/UEFI-configuratiemenu in om de integriteit van het opstartproces te waarborgen. • Zorg ervoor dat alle geïnstalleerde besturingssystemen en drivers compatibel zijn met Secure Boot. 30 LAPS (Local Administrator Password Solution) Beschrijving LAPS helpt bij het beheren van lokale administratorwachtwoorden door deze automatisch te genereren, te wijzigen en veilig op te slaan. Het was niet correct geconfigureerd of ingeschakeld, waardoor lokale administratoraccounts kwetsbaar kunnen zijn voor aanvallen. Risico: Medium Het niet gebruiken van LAPS laat lokale administratoraccounts potentieel blootgesteld aan aanvallen, vooral als wachtwoorden niet regelmatig worden gewijzigd of als ze zwak zijn. Aanbevelingen • Configureer en activeer LAPS binnen de domeinomgeving om een veilig en dynamisch beheer van lokale administratorwachtwoorden te garanderen. • Zorg ervoor dat LAPS-beleidsinstellingen correct zijn ingesteld in Groepsbeleid. 31 BitLocker Configuratie Beschrijving BitLocker biedt volledige schijfversleuteling om gegevensbescherming te bieden, vooral in gevallen van diefstal of verlies van apparatuur. Het was niet ingeschakeld op het systeemstation, wat resulteert in een gebrek aan gegevensbescherming. Risico: Hoog Het ontbreken van schijfversleuteling, vooral op werkstations, vertegenwoordigt een hoog risico op gegevensverlies of -diefstal. Aanbevelingen • Schakel BitLocker in voor alle vaste schijven, met name het systeemstation, om de gegevensbescherming te verbeteren. • Overweeg het gebruik van een opstart-PIN of -sleutel voor extra beveiligingslagen. 32 File Extension Associations Beschrijving De associaties van bestandsextensies zoals .bat, .cmd, .exe, .ps1, etc., zijn geconfigureerd om uitvoerbare bestanden direct te starten, wat potentieel kan worden misbruikt door kwaadaardige software of scripts. Ook het dubbel invoeren van extensies is een bekende exploit: Halloditiseenverborgenscriptdoorpeter.txt.bat Risico: Laag Dit risico wordt als laag beschouwd omdat het afhankelijk is van de context van een aanval en de uitvoering van kwaadaardige bestanden door de gebruiker. Aanbevelingen • Beperk de mogelijkheid voor gebruikers om potentieel gevaarlijke bestandstypen uit te voeren. • Train gebruikers in veiligheidsbewustzijn om de kans op het uitvoeren van kwaadaardige bestanden te verkleinen. 33 Driver Co-installers Beschrijving Driver Co-installers zijn niet uitgeschakeld, wat betekent dat een lokale gebruiker mogelijk SYSTEM privileges kan verkrijgen door een apparaat zoals een muis of toetsenbord aan te sluiten met een kwetsbare Driver Co-installer. Risico: Kwetsbaar - Laag Hoewel het risico als laag wordt beschouwd, vormt dit een potentieel beveiligingsrisico dat misbruikt kan worden. Aanbevelingen Uitschakelen, al dan niet tijdelijk. 34 En als laatste heb ik het officiele Administator Account gehacked, Administrator Wachtwoord-exfiltratie Wachtwoorden in de Cache Doordat ik de Cache van het orginele Admin Account wist te extraheren {MIMIKATZ > PRIVILEGE::DEBUG > SEKURLSA::LOGONPASSWORDS} kon ik van dit Admin Account het MasterPassword uit de Cache lezen. Authentication Id : 0 ; 503760 (00000000:0007afd0) Session : Batch from 0 User Name : Administrator Domain : CSTLABLOWPRIV Logon Server : CSTLABLOWPRIV Logon Time : 26/03/2024 12:32:17 SID : S-1-5-21-1766980127-89750324-1070565442-500 msv : [00000003] Username : Administrator Domain : CSTLABLOWPRIV NTLM : 3f3652223683df002eaf25665af7e613 SHA1 : 476e7401d41e1a5bb82d77866095e705733d101 Password : Stup!dp4ss Beschrijving Mimikatz is een krachtig hulpmiddel dat vaak wordt gebruikt in post-exploitatie stadia van een cyberaanval om wachtwoorden, hashes, en andere gevoelige gegevens uit het Windows-geheugen te extraheren. In dit scenario heb ik Mimikatz gebruikt om de inloggegevens van de Administrator-account te extraheren op het CSTLABLOWPRIV domein. Dit toont de kwetsbaarheid van opgeslagen credentials in het geheugen en de risico's van onvoldoende bescherming tegen malafide processen met debugprivileges. 35 Risico: Hoog De mogelijkheid voor een aanvaller om onversleutelde wachtwoorden en hashes uit het systeemgeheugen te extraheren, vertegenwoordigt een significant beveiligingsrisico. Dit kan leiden tot verdere aanvallen, zoals snooping movement binnen het netwerk, privilege escalatie, en toegang tot gevoelige informatie en systemen. Aanbevelingen • Minimaliseren van Gebruik van Privileges: Zorg ervoor dat gebruikers en processen met de minimale vereiste privileges werken om hun taken uit te voeren. Dit kan helpen het risico van privilege escalatie en misbruik van hoge privileges te beperken. • Credential Guard: Overweeg het inschakelen van Windows Defender Credential Guard (indien ondersteund door de hardware en het besturingssysteem) om bescherming te bieden tegen Mimikatz-achtige aanvallen door gebruik te maken van virtualisatie-gebaseerde beveiliging. • Sterke Wachtwoordbeleid: Implementeer sterke wachtwoordbeleid en moedig het gebruik van multi-factor authenticatie aan waar mogelijk, om de impact van wachtwoordexfiltratie te verminderen. • Monitoring en Detectie: Verbeter de monitoring en detectie van ongebruikelijke activiteiten die wijzen op het gebruik van tools zoals Mimikatz, inclusief het monitoren van toegang tot gevoelige systeemoproepen en het gebruik van debugprivileges. • Patch en Update Beleid: Zorg voor een consistent patchbeleid om bekende kwetsbaarheden te verhelpen die kunnen worden gebruikt voor het verkrijgen van initiële toegang of voor privilege escalatie. 36 37 Golden Ticket & Token Manipulatie Met het verkrijgen van de inloggegevens van het officiële Administrator-account, kan ik een heel nieuw scala aan mogelijkheden voor diepgaande en verreikende toegang tot het systeem exploiteren. Met dit niveau van toegang kan ik, of een kwaadwillige, zonder beperkingen navigeren door het gehele systeem, waarbij toegang verkregen wordt tot uiterst gevoelige en kritieke informatie: Inloggegevens van alle gebruikersaccounts, financiële transacties en bankgegevens, e mailcorrespondenties, volledige browsergeschiedenis, toegang tot lokale en netwerkbestandssystemen. Ook is het nu mogelijk om zogenaamde "Golden Tickets" binnen het Kerberos authenticatiesysteem te creëren en te misbruiken. Deze techniek maakt het mogelijk om gefalsificeerde authenticatietokens te genereren, waardoor onbeperkte toegang tot vrijwel elk gedeelte van het netwerk en de daarmee verbonden resources mogelijk wordt: alsof de aanvaller een een systeembeheerder is. Dit kan onder meer worden gebruikt om twee-factor authenticatie (2FA, Digi-ID) en andere multifactor-beveiligingsmaatregelen te omzeilen, wat de integriteit van niet alleen het lokale systeem maar ook van externe diensten en accounts ernstig ondermijnt. De kwetsbaarheden die hierdoor worden geïntroduceerd, strekken zich uit tot externe accounts en services waar de beheerder toegang toe heeft, inclusief, bankrekeningen, zorgverzekeringen, educatieve en werkgerelateerde systemen. De diefstal van deze inloggegevens en de mogelijkheid om legitieme gebruikerssessies na te mimicen, kunnen leiden tot ongeautoriseerde toegang en misbruik van deze externe diensten, met potentieel verwoestende financiële, persoonlijke en professionele gevolgen. De zogenoemde GoldenTicket in Kerberos, Token Manipulatie en Token Mimicking worden gebruikt voor onderandere militaire doeleinden, bedrijfsspionage en gegevens diefstal: met een golden ticket heb je onbeperkt toegang tot het netwerk, zonder credentials of elevation en mischien nog wel het belangrijkste: met een minimale fingerprint. Ik ga me hierin in Blok-4 specialiseren: Kerberos Ticket Mimicking, Token Manipulatie en Forensic Fingerprinting, to be continued! Peter Oldenburger, Amsterdam, CyberSecurityAD.com. 38 Conclusie De uitgevoerde beveiligingsbeoordeling, geleid door de Penetration Testing Execution Standard (PTES) en in overeenstemming met ISO 27005:2022 richtlijnen voor risicomanagement in informatiebeveiliging, heeft meerdere kritieke kwetsbaarheden binnen de IT-infrastructuur van RED MANGO blootgelegd. Deze bevindingen onderstrepen het belang van een systematische en grondige benadering van cyberbeveiliging, met name in het licht van de integratie van RED MANGO binnen de bredere IT-omgeving van ADNAN ENTERPRISE. Deze kwetsbaarheden vormen niet alleen een direct risico voor de integriteit, vertrouwelijkheid, en beschikbaarheid van RED MANGO's IT-systemen, maar stellen ook ADNAN ENTERPRISE bloot aan potentiële insider threats en geavanceerde aanvalsscenarios. In overeenstemming met ISO 27005:2022, is risicoanalyse en -behandeling uitgevoerd om de impact van geïdentificeerde risico's te kwantificeren en passende beheersmaatregelen voor te stellen. De aanbevelingen, variërend van het minimaliseren van het gebruik van privileges tot het inschakelen van Windows Defender Credential Guard en het implementeren van een consistent patch- en updatebeleid, zijn ontworpen om de risico's te mitigeren tot een acceptabel niveau. Deze maatregelen zijn niet alleen gericht op het adresseren van de huidige kwetsbaarheden, maar ook op het versterken van de algehele beveiligingshouding van RED MANGO tegen toekomstige bedreigingen. Deze beveiligingsbeoordeling en de daaropvolgende aanbevelingen vormen een essentiële stap in de voortdurende inspanningen om een veilige en veerkrachtige IT-omgeving te waarborgen binnen ADNAN ENTERPRISE en zijn onlangs overgenomen dochteronderneming, RED MANGO. Peter Oldenburger 2024 CyberSecurity Essentials 39 RISCOMATRIX 40 HEATMAP 41 FOOTNOTES & RESOURCES 1. GitHub 2. SourceForge 3. OpenAI 4. DLO 5. SourceForge 6. NetworkChuck 7. NullByte 8. Git Respo 9. Adnan Kazan 10. Michael Drent 11. HackTricks 12. MiTTRE ATTCK Frame 13. Vijay Sewrad 42

4 views0 comments

Recent Posts

See All

Openbaar Ministerie

Datum: 04 – 04 - 2024 Betreft: Data Weledelgestrenge Heer/Vrouw, Enkele maanden geleden heb ik reeds het initiatief genomen om per brief...

dhcp python script

#!/usr/bin/env python# Aangepast script met DHCP-verzoeken# (Shreyas Damle's script als inspiratie)import timefrom scapy.all import * def...

Comments


bottom of page