Pandeminin hayatımıza girmesi ile uzaktan çalışma oranları büyük oranda arttı. Bu durum üretkenliği arttırması ile güvenlik sorununu da beraberinde getirdi. Günün sonunda biz MFA kullanıyoruz, VPN ile bağlantı gerçekleştiriyoruz gibi korumacı cevaplar gelecektir, fakat atak alanının son kullanıcı makinasına indirgenmiş olduğu gerçeğini de değiştirmemektedir. Hele ki ayrıcalıklı kullanıcılar ile son kullanıcı cihazında run as çalıştırabiliyor isek veya Domain Controller, SQL, SCCM gibi kritik sunuculara hala kendi makinamızdan bağlanabiliyorsak olay daha da kritik seviyelere ulaşmaktadır.
Mobilitenin artması ile kullanıcılar da istedikleri yerden çalışabildikleri için, özellikle restoran, kafe vs. gibi güvensiz ağların kullanımında ciddi artış oldu. Bunu bilen saldırganlar elbette ki bunu fırsata çevirdiler. Benim bu yazıyı ele almamdaki ana sebep ise en azından kritik haklara sahip kullanıcılarımızı Protected Users Group ile koruyarak NTLM hash bilgisinin çalınmasının önüne geçmek. Bu elbette bizi %100 olarak korumamaktadır, ama asıl amacımız atak yüzeyini daraltmak olduğu unutmamalıyız.
İşin teknik tarafına geçmeden önce tam da yukarı anlattıklarıma uyan sqladmin kullanıcısının her yerde rastgele kullanıldığını varsayalım. Mimikatz ile hash bilgisini almaya çalıştığımda kolay bir şekilde ele geçirdim. Bizim yapmak istediğimiz ise ntml hash bilgisinin çalınmasını engellemekti.
Resim-1
Konunun ne kadar ciddi olduğunu göstermek amacıyla ilgili kullanıcıya atanan hakları aşağıda sizlerle paylaşıyorum. Yorumu da size bırakıyorum !
Resim-2
AD gruplarım içerisinde Protected Users grunun olduğunu görebiliyoruz.
Resim-3
Add-ADGroupMember -Identity “Protected Users” -Members “CN=SQL ADMIN,CN=Users,DC=hd,DC=com” komutu ile ilgili kullanıcımı Protected users grubuna ekliyorum.
Resim-4
Mimikatz ile aynı komutu tekrar çalıştırdığımda ise NTLM bilgisini artık görüntüleyemediğimi görüyorum. Yukarıda da belirttiğim gibi farklı methodlar ile NTLM bilgisi alınabilmekedir. Burada bizim sorumluluğumuz olabildiğince bu atak yüzeylerini daraltmak olacaktır. Konu kapmasından bunlardan bir tanesini görmuş olduk.
Resim-5
Konu ile ilgili ön gereksinimleri ve dikkat edilmesi gereken noktaları aşağıdaki makaleden inceleyebilirsiniz.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
TAGs:Protected Users Group,Protected Users Group nedir,Protected Users Group’u Kulanıyor musunuz?, mimikatz