image

Microsoft-tool moet netwerken tegen hackers beschermen

zondag 16 oktober 2016, 10:52 door Redactie, 2 reacties

Microsoft heeft een gratis tool ontwikkeld die moet voorkomen dat hackers op een netwerk waardevolle informatie kunnen verzamelen om zo andere machines over te nemen. Net Cease, zoals de tool heet, verandert de standaard rechten van Net Session Enumeration (NetSessionEnum).

Zodra aanvallers een systeem in een netwerk hebben gehackt moeten ze hun volgende doelwit vinden, met name gebruikers met hogere rechten, zo laat Microsoft weten. Is een dergelijke gebruiker achterhaald, dan moeten de aanvallers weten op welke computers deze gebruiker heeft ingelogd, zodat uiteindelijk zijn inloggegevens kunnen worden gestolen. Door Net Session Enumeration tegen een domeincontroller of andere bestandserver te gebruiken kunnen aanvallers dergelijke informatie achterhalen.

Onlangs zijn er verschillende tools verschenen die dit proces automatiseren. Net Cease verandert zoals gezegd de permissies van Net Session Enumeration. Dit moet voorkomen dat aanvallers op eenvoudige wijze de eerder genoemde informatie kunnen verkrijgen om zich vervolgens lateraal door het netwerk van de organisatie te bewegen. De tool, eigenlijk een PowerShell (PS) script, is getest op alle moderne Windowsversies vanaf Windows 7. Microsoft stelt dat het script waarschijnlijk ook op oudere Windowsversies zal werken.

Reacties (2)
16-10-2016, 12:07 door Erik van Straten
Goed dat men bij Microsoft inziet dat systemen by default veel te veel informatie verstrekken aan gebruikers die dit niets aan hoort te gaan. Want waarom zou elk lid van Authenticated Users van Domain Controllers moeten kunnen vernemen welke andere gebruikers daarop ingelogd zijn, hoe lang al, en vanaf welke PC?

Als ik me goed herinner hoefde je bij oudere Windows versies daar niet een voor geauthenticeerd te zijn, dus er is ooit al een stap gemaakt.

En toch is dit weer half werk. Want hoewel het NetCease script permissies voor Authenticated Users verwijdert, blijven deze voor Power Users bestaan (ik heb geen idee of die in de praktijk nog worden gebruikt), maar worden permissies toegevoegd voor interactive (geen probleem) maar ook service en batch logon sessions. De vraag is hoe lang het duurt voordat aanvallers hun tools hebben aangepast. Bovendien, admin of SYSTEM worden op een gehackte machine is meestal niet zo moeilijk, en Microsoft vindt patches voor privilige escalation lekken nooit critical.

En last but not least is dit een optionele tool (het is geen "verplichte" update) waarbij je je moet afvragen "what does it break". Dat kun en moet je testen. Maar als je over een maand een product installeert dat niet (goed) werkt, hoe weet je dan of zo'n hardening maatregel daar wellicht de oorzaak van is? De kans dat leveranciers hun product zelf testen met dit soort optionele hardening maatregelen is helaas erg klein.

Dat wordt weer afwegen: welke risico's introduceer ik in mijn organisatie door het aanvallers een klein beetje moeilijker te maken?
16-10-2016, 14:36 door karma4
Deze nieuwe optie van MS gaat er vanuit dat er al een degelijke scheiding is tussen gewone restricted gebruikers en die als high privileged gemarkeerd staan. De eerste stap zou moeten zijn die scheiding valideren en de high privileged gebruikers inperken tot gebruik op momenten dat de privilege escalatie voor de werktaak nodig is.

Hoe vaak zie je niet dat alles van alle soorten taken gewoon open gezet wordt omdat het dan makkelijker is. Nee dat begint niet met een technische uitdaging. De grootste issue zijn:
- het inzicht (CSO)
- draagvlak (lijn management)
- de praktijk de "gebruiker" als IT collega de administrator.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.