Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности,
которая автоматизирует ключевые процессы управления:
контроль соответствия требованиям, управление рисками, учет активов, планирование работ,
задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
в Активе
Доменные службы Active Directory
Описание угрозы
Любая информация о компании, ее инфраструктуре, информационных системах и персонале может быть использована злоумышленником для проведения атак и компрометации информационных систем.
Сбор информации об инфраструктуре осуществляется злоумышленниками на этапе разведки.
Сбор информации об инфраструктуре осуществляется злоумышленниками на этапе разведки.
Описание уязвимости
Доверие домена обеспечивает механизм, позволяющий домену разрешать доступ к ресурсам на основе процедур проверки подлинности другого домена. Доверие домена позволяет пользователям доверенного домена получать доступ к ресурсам в доверительном домене. Обнаруженная информация может помочь злоумышленнику провести различные атаки, например внедрение SID-истории, передачу билета или запуск Kerberoasting.
Доверие домена может быть перечислено с помощью вызова Win32 API "DSEnumerateDomainTrusts ()", методов .NET и LDAP. Известно, что утилита Windows Nltest может использоваться злоумышленниками для перечисления доверия домена.
Злоумышленник также может добавлять новые доверительные отношения или изменять свойства существующих доверительных отношений. Манипулирование доверием домена может позволить злоумышленнику повысить привилегии и/или обойти защиту, изменив настройки для добавления объектов, которыми он управляет. Например, это может быть использовано для подделки токенов SAML без необходимости компрометировать сертификат подписи для подделки новых учетных данных. Вместо этого злоумышленник может манипулировать доверием домена, чтобы добавить свой собственный сертификат подписи.
Доверие домена может быть перечислено с помощью вызова Win32 API "DSEnumerateDomainTrusts ()", методов .NET и LDAP. Известно, что утилита Windows Nltest может использоваться злоумышленниками для перечисления доверия домена.
Злоумышленник также может добавлять новые доверительные отношения или изменять свойства существующих доверительных отношений. Манипулирование доверием домена может позволить злоумышленнику повысить привилегии и/или обойти защиту, изменив настройки для добавления объектов, которыми он управляет. Например, это может быть использовано для подделки токенов SAML без необходимости компрометировать сертификат подписи для подделки новых учетных данных. Вместо этого злоумышленник может манипулировать доверием домена, чтобы добавить свой собственный сертификат подписи.
Описание типа актива
Cлужбы каталогов корпорации Microsoft для операционных систем семейства Windows Server. Первоначально создавалась, как LDAP-совместимая реализация службы каталогов, однако, начиная с Windows Server 2008, включает возможности интеграции с другими службами авторизации, выполняя для них интегрирующую и объединяющую роль.
Позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать программное обеспечение на множестве компьютеров через групповые политики или посредством System Center Configuration Manager, устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компьютерах в сети, используя Службу обновления Windows Server. Хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких десятков до нескольких миллионов объектов.
Позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать программное обеспечение на множестве компьютеров через групповые политики или посредством System Center Configuration Manager, устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компьютерах в сети, используя Службу обновления Windows Server. Хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких десятков до нескольких миллионов объектов.
Область действия: Вся организация
Объекты атаки
Техническая информация
Классификация
КЦД:
Конфиденциальность
?
STRIDE:
Раскрытие информации
?
Источники угрозы
Внешний нарушитель -
Низкий потенциал
?
Техники ATT@CK:
T1482
Domain Trust Discovery
Adversaries may attempt to gather information on domain trust relationships that may be used to identify lateral movement opport...
T1484.002
Domain Policy Modification:
Domain Trust Modification
?
Adversaries may add new domain trusts or modify the properties of existing domain trusts to evade defenses and/or elevate privil...
Связанные защитные меры
Ничего не найдено