31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente e dipendente fraudolenti
Obiettivo 1. Evidenziare eventuali lacune nella fase di messa in esercizio di postazioni server e client 2. Simulazione di attività fraudolente eseguite d personale consulente e dipendente 3. Analisi di alto livello sullo stato della sicurezza della propria infrastruttura IT, attraverso interviste e documentazione a. Architettura b. Aspetti tecnici e sistemistici c. Procedure e politiche
Target e modalità Black-box (consulente) Grey-box (con credenziali di utente generico) Target in produzione (nessun DoS) Scansione ed analisi di 11 reti IP di classe C Analisi del server DC - Active Directory Analisi di 1 thin client e di 1 PC desktop, in configurazione standard e con utenza di dominio Analisi di raggiungibilità di rete dalle aule corsi
Principali classi di vulnerabilità Mancato aggiornamento di pacchetti software e del sistema operativo Configurazioni non hardenizzate di alcuni dispositivi di rete Autorizzazioni un po' troppo lasche degli utenti sulle cartelle dei server Password di utenti amministrativi troppo semplici, mancanti o non personalizzate Possibilità di effettuare attacchi ARP poisoning e catturare traffico di rete Mancanza di separazione di rete Queste vulnerabilità hanno causato il verificarsi di queste tipologie di problemi: Possibilità di eseguire codice arbitrario nelle postazioni client Possibilità di accedere ed eventualmente apportare modifiche alle configurazioni di alcuni apparati di rete critici: centralino telefonico, switch fiber-channel, videoregistratore delle videocamere di sicurezza Possibilità di accedere a dati riservati Possibilità di accedere alle postazioni degli altri utenti (e quindi ai loro documenti sia locali che ospitati sui server remoti) ed eventualmente installare software arbitrario (quali keylogger) a loro Insaputa Potenziale redirezione del traffico di rete degli utenti per ottenere informazioni o credenziali riservate
Risultati raggiunti E' stato possibile: ottenere le password degli amministratori locali delle postazioni desktop e thin-client ottenere credenziali amministrative per l'accesso agli switch fiber-channel che gestiscono lo storage dei dati accedere con credenziali amministrative al centralino telefonico ed al videoregistratore di rete delle videocamere di sicurezza della sede di Cassa Centrale Banca accedere a numerosi dati riservati contenuti sui server, tra cui credenziali per l'accesso FTP ad Iside, credenziali per l'accesso ad alcuni database, a Bloomberg e le credenziali degli utenti del sito compresi i sorgenti dello stesso. trovare documentazione relativa all'algoritmo per la creazione delle credenziali dell'applicativo FOR.T.E. individuare la possibilità (non sfruttata) di modificare le abilitazioni per sportello PC e di modificare alcuni file, quali mappacartelle.exe ed i file di installazione via network delle postazioni di lavoro che potrebbe portare ad un controllo totale delle stesse. verificare la possibilità di effettuare attacchi di tipo ARP poisoning e di redirezione del traffico di rete con la conseguente possibilità di ottenere credenziali di altri utenti, in particolare quelle per la navigazione su Internet tramite proxy verificare che le aule corsi erano state cablate in modo non corretto e dalle stesse erano raggiungibili numerosi server (compresi alcuni con vulnerabilità critiche) e le network contenenti le workstation degli utenti.
Skill & Effort
Numerosità delle vulnerabilità
Le postazioni di lavoro Uno dei problemi maggiori risiede nel fatto che le password degli amministratori locali sono relativamente facili da ottenere e questo potrebbe permettere ad un utente fraudolento di usare queste credenziali, ottenute dalla sua postazione, per collegarsi alle postazioni di lavoro di altri utenti ed installare software arbitrario oppure accedere a documenti a cui teoricamente non dovrebbe avere accesso. Questo è dovuto principalmente a tre fattori: La password dell'amministratore locale è comune a quasi tutte le postazioni L'utente è amministratore della sua postazione per cui può eseguire facilmente un dump delle HASH di tale credenziale sulla quale effettuare un crack offline. Non esiste una password per l'accesso al BIOS per cui l'utente, se non fosse amministratore, potrebbe facilmente fare il dump delle HASH della sua postazione facendo il boot da un dispositivo rimovibile quale il CD-ROM o un pen-drive USB Si è poi verificato che, con le credenziali fornite è possibile accedere a numerose share di rete sui server contenenti documenti riservati ai quali teoricamente l'utente a noi assegnato non doveva accedere. Nel tempo utilizzato per l'attività non è stato possibile ottenere i privilegi di amministratore del dominio però è stato possibile creare/modificare file e cartelle su numerosi server per cui con un tempo più lungo a disposizione e sfruttando anche la social engineering si ritiene possibile tentare una escalation privilege sul dominio.
Analisi Architettura (1)
Analisi Architettura (2)
Analisi Architettura (3)
Analisi Sistemi (1)
Analisi Sistemi (2)
Analisi Sistemi (3)
Analisi Politiche e Procedure (1)
Analisi Politiche e Procedure (2)
Analisi Politiche e Procedure (3)
Analisi Politiche e Procedure (4)