/Rectangle%20239.png?width=13&height=13&name=Rectangle%20239.png){kind=small}
ي السنوات الأخيرة، أصبحت مسألة الأمن السيبراني ذات أهمية متزايدة بالنسبة للشركات بسبب مجموعة متنوعة من التهديدات، بما في ذلك تسرب البيانات الحساسة، واختراق أنظمة المعلومات الداخلية (IS) وتأثير ذلك على صورة الشركة. ونتيجة لذلك، يتطلع عملاؤنا إلى تعزيز أمنهم. وتتمثل إحدى طرق القيام بذلك في إجراء اختبارات الاختراق الداخلي (الاختبارات الخماسية).
تتكون هذه الخدمة من محاكاة هجوم إلكتروني، يقوم به خبراء أمن، داخل شبكة الشركة للعثور على نقاط الضعف في النظام ورفع امتيازاته على البنية التحتية، بنفس الطريقة التي يقوم بها الخصم الحقيقي (ولكن دون التسبب في أي ضرر حقيقي). والهدف من ذلك هو العثور على نقاط الضعف وتقديم توصيات لتصحيحها قبل أن يتمكن المهاجم الحقيقي من استغلالها.
أجرى فريق اختبار الاختراق لدينا العديد من عمليات التدقيق الأمني الداخلي للعديد من العملاء على مر السنين. فيما يلي أهم 10 نقاط ضعف وجدوها، وكيف تمكنوا من استغلالها وتوصيات حول كيفية الحماية منها.
1) البروتوكولات القديمة لتسمية الأجهزة
يستخدم Windows عدة بروتوكولات لتسمية الأجهزة أو الخدمات على الشبكة لتسهيل وصول المستخدمين إليها. أكثر هذه البروتوكولات شيوعًا هو DNS (نظام أسماء النطاقات): حيث يتم إضافة كل جهاز ينضم إلى المجال أو الخدمة إلى خادم DNS، بحيث عندما يطلب المستخدم موردًا معينًا، يستجيب نظام DNS بعنوان IP المقابل.
لسوء الحظ، إذا ارتكب المستخدم خطأً أثناء طلب مورد، فلن يتمكن خادم DNS من الاستجابة (على سبيل المثال: في حالة افتراض وجود خدمة CIFS (نظام ملفات الإنترنت المشترك) مثل SMB (حظر الرسائل الخادم) على "ws-share.domain.tld"، فإنه إذا طلب المستخدم "w-share.domain.tld"، لن يستجيب خادم DNS لأن "w-share" ليس موجودًا في قاعدة بياناته). في هذه الحالة، سيحاول Windows دائمًا الاستجابة باستخدام بروتوكولات أخرى مثل mDNS (نظام أسماء النطاقات متعدد الإرسال)، NBNS (خدمة أسماء NetBIOS)، أو LLMNR (حل أسماء الشبكة المحلية المتعددة الإرسال).
جميع هذه البروتوكولات هي بروتوكولات بث (Broadcast)، مما يعني أن الطلب يُرسل إلى الجميع في محاولة للعثور على عنوان IP الخاص بـ "w-share.domain.tld". المشكلة تكمن في أنه إذا قام شخص ما على الشبكة بالاستجابة لهذا الطلب بعنوان IP الخاص به، فسيتم إعادة توجيه العميل الذي طلب "ws-share.domain.tld" لبدء عملية المصادقة، وبالتالي يرسل مباشرة إلى المهاجم استجابة NTLMv2، التي تتضمن تجزئة كلمة المرور الخاصة به. في هذا السيناريو، يمكن للمهاجم تجميع تجزئات كلمات المرور لعدة مستخدمين ومحاولة كسرها دون اتصال.
لمنع هذا التهديد، يُوصى بتجنب استخدام البروتوكولات القديمة وتعطيلها، والسماح باستخدام DNS فقط. يمكن تحقيق ذلك من خلال كائن سياسة المجموعة (GPO).
2) ترحيل NTLM
تقنية أخرى شائعة الاستخدام هي ترحيل NTLM (مدير شبكة محلية NT). تعتمد هذه الهجمة على غياب التحقق من التوقيع أثناء عملية المصادقة باستخدام NTLM، عندما يحاول المستخدم الوصول إلى خدمة (غالبًا LDAP - بروتوكول الوصول الخفيف للدليل - أو SMB).
تعمل عمليات المصادقة باستخدام NTLM عبر ثلاث خطوات:
- يرسل العميل طلب مصادقة للحصول على مورد إلى الخادم.
- يرسل الخادم تحديًا إلى العميل.
- يرسل العميل ردًا إلى الخادم (وهو التحدي المُشفر باستخدام كلمة مرور العميل).
يمكن للمهاجمين في وضع "رجل في المنتصف" (MitM) اعتراض طلب المصادقة بين المستخدم وخدمة A، ثم تمرير هذا الطلب إلى خدمة B. بعد ذلك، عندما يتلقون التحدي من خدمة A، يقومون بإرساله إلى العميل وينتظرون رده، ثم يرسلون هذا الرد إلى خدمة B. بهذه الطريقة، يمكنهم المصادقة كأنهم العميل لدى خدمة B، دون معرفة كلمة مروره.
هذه الهجمة لا تعمل إذا كانت الخدمات تطلب توقيع العميل. يجب الانتباه إلى أن تفعيل التوقيع وفرضه يختلفان: في الحالة الأولى، يكون التوقيع ممكنًا ولكنه غير إلزامي، بينما في الحالة الثانية، يتم طلب التوقيع في كل مرة.
3) سوء تكوين LAPS
نظرًا لصعوبة إدارة الأجهزة في البيئات الكبيرة، أضافت Microsoft حلًا لأتمتة إدارة حساب المسؤول المحلي، يسمى LAPS (حل كلمة مرور المسؤول المحلي). يضيف هذا الحل خاصيتين جديدتين إلى كائنات الكمبيوتر: "ms-Mcs-AdmPwd" و"ms-Mcs-AdmPwdExpirationTime" (كلمة مرور بنص واضح وتاريخ انتهاء صلاحيتها).
بشكل افتراضي، يمكن فقط للحسابات ذات الامتيازات العالية قراءة خصائص "ms-Mcs-AdmPwd"، ولكن نظرًا لأن بعض المجموعات تمتلك غالبًا امتيازات أكثر مما ينبغي، فإنه ليس من غير المعتاد العثور على مستخدمين مصرح لهم بقراءة هذه الخصائص، حتى لو لم يكن ينبغي لهم ذلك، مما يمنحهم حقوق المسؤول المحلي.
سوء تكوين آخر تصادفه فرقنا هو عندما يكون للمستخدمين حقوق موسعة على جهاز كمبيوتر A. في هذا السيناريو، إذا كان للمستخدم الحق في إضافة جهاز كمبيوتر جديد إلى المجال، يمكنه إضافة جهاز كمبيوتر B (الذي يمتلك عليه امتيازات المسؤول) ومزامنة كلمة مرور المسؤول المحلي الخاصة به مع جهاز الكمبيوتر A (مما يؤدي إلى استبدال كلمة المرور الخاصة به). بعد ذلك، بما أنه بالفعل مسؤول محلي على الجهاز، فإنه يحتاج فقط إلى قراءة خاصية "ms-Mcs-AdmPwd" للحصول على كلمة المرور.
استخدام LAPS هو وسيلة فعالة للغاية لحماية الأجهزة، ولكن قد يكون من الصعب تقييد وصول المستخدمين إلى القراءة أو الحد من حقوقهم الموسعة المتعلقة بكلمة المرور.
4) أذونات المشاركة
أثناء اختبارات الاختراق الداخلية، بمجرد أن يكون لدى مدقق الأمان حساب، يمكنه التحقق مما إذا كانت هناك أي مشاركات مفتوحة على الشبكة والتحقق مما إذا كان أي منها مهيأ بقيود ضعيفة، مثل الوصول ”مجهول“ أو الوصول ”للقراءة الكاملة“ أو الوصول ”للكتابة“.
الوصول ”مجهول“ إلى مشاركة ما يعني أنه يمكن لأي شخص، حتى بدون حساب، الوصول إلى تلك المشاركة. كما يمكن أن يؤدي منح الكثير من الأشخاص حق الوصول ”الكتابة“ إلى قيام المستخدمين بتعديل البيانات (مثل الثنائيات) لإدخال أبواب خلفية. من ناحية أخرى، فإن منح حق الوصول ”للقراءة“ للجميع يمكن أن يؤدي إلى كشف معلومات مهمة.
من الصعب إدارة الأذونات بشكل صحيح بسبب عدد المستخدمين والمجموعات، أو حتى عدد المشاركات المتاحة، ولكن وجود سياسة مشاركة قوية ومقيدة يقلل من سطح الهجوم.
5) إساءة استخدام نهج المجموعة
كائنات نهج المجموعة (GPOs) هي ميزة تساعد المسؤولين على إدارة بيئة عمل المستخدمين وحسابات الكمبيوتر داخل المؤسسة والتحكم فيها. يمكن للمهاجم الذي لديه حساب في المجال الوصول إلى مشاركات SYSVOL (وحدة تخزين النظام) لأي وحدة تحكم في المجال لاسترداد كائنات نهج المجموعة هذه. إذا كان المسؤولون يستخدمون GPOs لدفع البرامج النصية وتشغيلها على أجهزة الكمبيوتر، فقد تحتوي هذه البرامج النصية على معلومات مهمة مثل بيانات الاعتماد.
ينشأ خطر آخر عندما يكون لدى المستخدم الكثير من الحقوق (مثل CreateChild أو WriteProperty أو GenericWrite) على أحد مكاتب GPO. في هذا السيناريو، يمكن للمستخدم في هذا السيناريو تعديلها للتحكم في أجهزة الكمبيوتر التي ينطبق عليها GPO.
ولحل هذه الثغرة، لا تكتب كلمات المرور بنص واضح في GPOs وتحقق بعناية من لديه امتيازات الكتابة على GPOs.
6) سوء تكوين نموذج ADCS
يُعد ADCS (خدمة شهادات Active Directory) خدمة تُستخدم لإصدار وإدارة الشهادات للمستخدمين، والأجهزة، أو الخدمات. يسمح لك بتكوين نماذج تُستخدم بعد ذلك لتوليد الشهادات. ولكن نظرًا لأن هذه النماذج مرنة جدًا، فإنها تحتوي أيضًا على خيارات خطيرة. على سبيل المثال، يمكن استخدام بعض النماذج لمصادقة المستخدمين على النطاق، لذلك إذا سمح النموذج لمستخدم ما بطلب شهادة باسم حساب آخر (الخيار "ENROLLEE_SUPPLIES_SUBJECT")، يمكن للمهاجم أن يطلب شهادة ويضيف في حقل SAN (الاسم البديل للموضوع) اسم مسؤول النطاق. بذلك، سيصدر ADCS شهادة صالحة للمهاجم، يمكنه استخدامها للمصادقة كمسؤول النطاق.
ثغرة أخرى وجدت فرقنا أثناء اختبارات الاختراق هي النماذج التي يمكن لأي "مستخدم مصادق" تعديلها. في هذه الحالة، يمكننا تعديل خيارات النموذج للسماح بـ "مصادقة العميل"، ويمكننا تعديل موضوع الشهادة لإنشاء شهادة باسم مسؤول النطاق، مما يؤدي إلى اختراق كامل لنظام المعلومات.
يجب على الشركات التحقق من حقوق الوصول لنماذج ADCS الخاصة بها لتقييد إمكانية تعديلها، ويجب عليها التأكد من أن المستخدمين غير قادرين على تحديد موضوع الشهادة.
7) استخدام أسماء SPN لحسابات المستخدمين (kerberoasting)
من الثغرات غير الجديدة ولكنها موجودة باستمرار هي استخدام أسماء SPN (أسماء مديري الخدمة) للحسابات غير التقنية - ما يسمى بهجوم ”kerberoasting“. اسم SPN هو معرّف لمثيل الخدمة (على سبيل المثال، MSSQL01_svc/sql.domain.tld:1433 يمثل حساب MSSQL01_svc على sql.domain.tld). إذا كان الحساب يحتوي على خاصية ”servicePrincipalName“، يمكن لكل مستخدم طلب TGS (خدمة منح التذاكر) لخدمته. تتضمن TGS هذه تشفير كلمة مرور الحساب، لذا يمكن للمهاجم طلب TGS ومحاولة اختراق كلمة المرور دون اتصال بالإنترنت. هذا الأمر ليس خطيرًا جدًا بالنسبة لحسابات الخدمة، لأن كلمات المرور عادةً ما تكون عشوائية وطويلة بما فيه الكفاية، لذا يصعب اختراقها، لكن الأمر يصبح إشكاليًا بالنسبة لحسابات المستخدمين، لأنه في معظم الأحيان، حتى مع وجود سياسة كلمات مرور جيدة، من الأسهل اختراقها باستخدام قاموس جيد ومجموعات قواعد فعالة.
لذلك لا تقم بتعيين خاصية SPN لحسابات المستخدمين وتأكد من تطبيق سياسة كلمات مرور جيدة للحد من إمكانية اختراق المهاجمين لكلمات المرور.
has context menu
8) الأنظمة والبرمجيات القديمة
من التهديدات التي نواجهها بشكل متكرر أثناء اختبار الاختراق الداخلي اكتشاف أنظمة أو برمجيات قديمة، والتي تكون عرضة للثغرات والتعرضات الشائعة (CVEs). من الصعب أن يكون لديك سياسة تحديث جيدة، خاصةً في المؤسسات الكبيرة، ولكن هذا يمكن أن يكون نقطة دخول سهلة للمهاجمين، حيث يتم اكتشاف واستغلال ثغرات جديدة كل يوم، وغالباً ما تتوفر العديد من إثباتات الثغرات (PoCs).
يجب أن يكون لدى المؤسسات سياسة تحديث جيدة للحد من إمكانية استغلال المهاجمين الإلكترونيين لهذه الثغرات.
9) سوء تكوين SCCM
وجد فريقنا مؤخراً أثناء عملية تدقيق داخلي طريقة لاختراق مجال عميل بأكمله من خلال إساءة استخدام التهيئة الخاطئة لخدمة SCCM (إدارة تكوين مركز النظام). يساعد هذا المنتج المسؤولين على تثبيت أجهزة الكمبيوتر في المجال وإدارتها وتكوينها. ولسوء الحظ، كان الحساب المستخدم لتنفيذ مهام التكوين هو حساب مجال له الكثير من الحقوق (حقوق مسؤول المجال).
والحقيقة أنه يمكن للمسؤول المحلي لجهاز كمبيوتر تتم إدارته بواسطة SCCM فك تشفير كلمة مرور حساب SCCM NAA (حساب الوصول إلى الشبكة)، حيث إنه محمي فقط بواسطة واجهة برمجة تطبيقات حماية بيانات Windows. غالبًا ما يجد خبراؤنا طرقًا لرفع الامتيازات على محطة عمل أو خادم.
توصي Microsoft بعدم استخدام حسابات المجال لتكوين أجهزة الكمبيوتر، أو على الأقل تقييد الأذونات.
has context menu
10) سياسة كلمات المرور الضعيفة
أخيراً، أكثر الثغرات شيوعاً التي نواجهها خلال عمليات التدقيق التي نجريها هي كلمات مرور المستخدم الضعيفة. مع زيادة قوة الحوسبة، يصبح من الأسهل على المهاجمين اختراق كلمات مرور أكثر تعقيدًا، بل وأسهل عندما تكون سياسة كلمات المرور المستخدمة ضعيفة. على سبيل المثال، يوضح هذا المقال كيف أن كلمة مرور مكونة من 8 أحرف بأحرف كبيرة وصغيرة وأحرف خاصة تستغرق 5 أيام لاستعادتها وتكلف 3000 دولار.
توصي الوكالة الوطنية لأمن نظم المعلومات (ANSSI) بأن يتراوح طول كلمة المرور بين 9 و11 حرفًا لحماية البيانات منخفضة الحساسية، و12 إلى 14 حرفًا للمحتوى متوسط الحساسية، و15 حرفًا أو أكثر للحساسية العالية إلى العالية جدًا. كما توصي باستخدام الأحرف الكبيرة والصغيرة والأرقام والأحرف الخاصة. يجب أن تستخدم الحسابات شديدة الحساسية أيضاً المصادقة متعددة العوامل (MFA).
