ESX Server уязвимость безопасности домена 2003-2008

Уязвимости, взломы и способы защиты. Вирусы здесь не обсуждаются

Модераторы: Tim308, phantom

Ответить

Автор темы
alex-cqham
Интересующийся
Сообщения: 20
Зарегистрирован: 18 ноя 2015, 12:21
Репутация: 2
Статус: Не в сети

ESX Server уязвимость безопасности домена 2003-2008

Сообщение alex-cqham » 18 ноя 2015, 14:05


Добрый день, случайно попал на ссылку в ютубе, интересовался SDRPlay. Сам радиолюбитель и в первые задаю вопросы на ИТ форумах.
Ситуация следующая. Есть три полностью виртуализированных домена, в один прекрасный день обнаружено, что любой пользователь домена получил минимальный доступ (чтение) к абсолютно закрытым расшаркам файлового сервера. Расшарки слава богу исторически, на протяжении почти 10 лет (столько самому старшему домену) имели классический вид
Ivanov$.

Предприятие виртуализированно на 100%, единственный не виртуальный сервер, был привезен из филиала и слава богу помог доказать, что болезнь не от доменов. Единственно правильно работающий аппарат.

Теперь о детальной сути. По умолчанию к диску C (ситему и д.р. исключим) имеют доступ локальные администраторы с полными правами и пользователи только чтение. Если создать расшарку Ivanov$ и на вкладке доступ убрать Все и добавить domain\users с правами Чтение и Изменение, а в безопасность включить самого Иванова, то получиться классическая схема персонального доступа для пользователя, что и доказывает единственный оставшийся не виртуальный сервер. На всех остальных серверах, при доступе на вкладку действующие разрешения, при выборе любого пользователя - члена домена, он имеет доступ к чужой (любой "закрытой"расшарки). Как выяснилось экспериментально, доступ доменных пользователей перекрываю права пользователи локального домена сервера, что противоречит вообще правилу - сетевой приоритет выше.

Теперь еще одна полезная информация. Решил вспомнить не виртуализационное время и сделал контроллер домена на обычном сервере. По умолчанию пользователи, теперь уже доменные к диску C имеют доступ на чтение и соответственно их нужно просто выбросить из этой вкладки, что и было сделанно.

Итак вопрос что могла натворить вирртуализация с точки зрения безопасности домена, как локальные пользователи (несуществующие) имея по умолчанию доступ на чтение к диску C перекрывают права доменных пользователей. То, что оно работало возможно год назад, сто пудов, поскольку очень часто менялись (увольнялись пользователи) вновь работающии, при подключении (я разумеется это делал) в виду отсутствии на вкладке безопасность, получали отказ, поскольку я просто забывал их туда включить.

Буду благодарен, возможно на HAckRF что то напишу.

Теги:

Аватара пользователя

SMITH
Великий инквизитор
Сообщения: 25
Зарегистрирован: 15 май 2014, 11:23
Есть ответ: 1
Репутация: 5
Статус: Не в сети

ESX Server уязвимость безопасности домена 2003-2008

Сообщение SMITH » 18 ноя 2015, 14:19


Доброго времени суток. Давайте сначала.
1. У вас один лес или несколько?
2. Сколько у вас доменов в лесу?
3. Сколько контроллеров доменов в каждом домене?
4. Перечислите здесь все имеющиеся у Вас домены
5. Что такое "виртуализированный домен"?
6. Включена ли учётная запись "Гость" на файловом сервере?

P.S. Дайте скрины c правами на шару С$


Автор темы
alex-cqham
Интересующийся
Сообщения: 20
Зарегистрирован: 18 ноя 2015, 12:21
Репутация: 2
Статус: Не в сети

ESX Server уязвимость безопасности домена 2003-2008

Сообщение alex-cqham » 18 ноя 2015, 15:31


1 Лес везде один.
2 Один домен в одном лесу.
3 В каждом по два контроллера
4 ****ru
5 Означает, что все контроллеры на базе ESX-Server
6 Все по умолчанию, никогда ее не трогал, выключена.
Вложения
3.JPG
2.JPG
1.JPG

Аватара пользователя

SMITH
Великий инквизитор
Сообщения: 25
Зарегистрирован: 15 май 2014, 11:23
Есть ответ: 1
Репутация: 5
Статус: Не в сети

ESX Server уязвимость безопасности домена 2003-2008

Сообщение SMITH » 18 ноя 2015, 16:27


А как там с наследованием?


Автор темы
alex-cqham
Интересующийся
Сообщения: 20
Зарегистрирован: 18 ноя 2015, 12:21
Репутация: 2
Статус: Не в сети

ESX Server уязвимость безопасности домена 2003-2008

Сообщение alex-cqham » 18 ноя 2015, 17:46


Красным закрашены доменные имена, зеленым локальный домен.
Наследуется следующее, поскольку на C$ локальные пользователи имеют по умолчанию три галочки без права записи, любая доменная учетка получает от нее права, на картинке в безопасности u1 должен перекрыть все учетки, но этого не происходит.

На не виртуализированном сервере все тоже (я не любитель извращения с галками), настроен он был в 2009, все по сей день живо и работает правильно. К стати если выбрать группу просто domain\users при моих настройках ее не пускают, если в безопасности стоит конкретный пользователь. Такое впечатление, что пользователи домена стали чуть выше самих себя, причем все на равных правах.
Вложения
4.JPG

Аватара пользователя

SMITH
Великий инквизитор
Сообщения: 25
Зарегистрирован: 15 май 2014, 11:23
Есть ответ: 1
Репутация: 5
Статус: Не в сети

ESX Server уязвимость безопасности домена 2003-2008

Сообщение SMITH » 19 ноя 2015, 08:43


Я правильно понимаю что у Вас не Active Directory? Можно информацию по группам сервера, кто в них в ходит. К примеру у меня:
Мой компьютер называется css3-1
FQDN моего домена STUDENT.LOCAL

Группа CSS3-1\Администраторы
1.png

Группа CSS3-2\Пользователи
2.png

Локальная политика для моего компьютера CSS3-1
3.png

Права на локальный диск С для CSS3-1\Администраторы
4.png

Права на локальный диск С для CSS3-1\Пользователи
5.png



Доступ к компу осуществляется по принципу доступа к квартире. Тамбурная дверь - это права доступа на шару. Дверь в квартиру - права на файловую систему. Если у Вас доступ на шару дан всем. Стоит рыть в настройках файловой системы. Если в настройках файловой системы всё стоит правильно, стоит рыть в направлении какой пользователь куда входит. Когда я был студентом действовал принцип: Разрешающие права одной группы могут дополняют разрешающие права другой группы. Запрет прав имеет высший приоритет


Автор темы
alex-cqham
Интересующийся
Сообщения: 20
Зарегистрирован: 18 ноя 2015, 12:21
Репутация: 2
Статус: Не в сети

ESX Server уязвимость безопасности домена 2003-2008

Сообщение alex-cqham » 19 ноя 2015, 17:41


SMITH писал(а):Источник цитаты Я правильно понимаю что у Вас не Active Directory

Как раз сервера виртуальные и перестали подчинять контроллеру домена, вкладка безопасность однозначно определяет имя пользователя который только сам может сюда попасть. Общий доступ domain\users, но там приоритет ниже, получается, что работает схема Прошедшие проверку, т.е. любой пользователь залогинившись в домене и зная адрес сервера и принцип организации резервного копирования подключит чужую папку по простой схеме \\192.168.x.x\FIO$ и тютю, а мне конец.
Понять бы кто это мог сделать и зачем, ведь единственный физический сервер работает правильно.

Аватара пользователя

SMITH
Великий инквизитор
Сообщения: 25
Зарегистрирован: 15 май 2014, 11:23
Есть ответ: 1
Репутация: 5
Статус: Не в сети

ESX Server уязвимость безопасности домена 2003-2008

Сообщение SMITH » 20 ноя 2015, 08:45


Опять не понятно. Смотрите если у вас пользователь "А" из домена входит в группу "а" с правами на чтение папки "х" и группу "б" с правами на изменение папки "х". То пользователь А сможет менять папку "х". А уберите группу "Everyone(Все)" и посмотрите что произойдёт


Автор темы
alex-cqham
Интересующийся
Сообщения: 20
Зарегистрирован: 18 ноя 2015, 12:21
Репутация: 2
Статус: Не в сети

ESX Server уязвимость безопасности домена 2003-2008

Сообщение alex-cqham » 20 ноя 2015, 15:02


Доброго дня, на единственном работающем правильно сервере группа (Все) имеет права как раз которые получает любой пользователь на виртуальном сервере. Группа все убирать не следует, каждый раз когда Вы открываете расшарку, на закладке доступ-разрешения по умолчанию высвечивается группа Все, только на чтения, я ее удаляю и добавляю пользователи домена, а уж на безопасность включаю конкретного пользователя.

Мало вероятно, что имеет место теневое присутствие разрешений, просто что то не так в виртуальной среде, вчера я проверял свой комп XP член домена все ок, а только что проверил две семерки (стерильные). Одна виртуальная другая нет.

Тогда уточняю, что скорее всего было вмешательство, но так звонко, что ничему верить нельзя. Идей пока нет. То, что виртуальная среда похоже не влияет, в чем я до некоторого времени и не сомневался так и есть, а вот то, что кто то очень умело и централизованно сделал все прозрачным, однозначно.

Замечу, что семерки по умолчанию настроенны, расшарки сделал так же, что и на серверах.

Аватара пользователя

SMITH
Великий инквизитор
Сообщения: 25
Зарегистрирован: 15 май 2014, 11:23
Есть ответ: 1
Репутация: 5
Статус: Не в сети

ESX Server уязвимость безопасности домена 2003-2008

Сообщение SMITH » 23 ноя 2015, 12:22


Тогда стоит копать ESX Server и принцип раздачи прав доступа на нём. Потому что в виртуальной среде которой я работал (HyperV, VMWare, VirtualBox) с ОС MS Windows проблем с доступом не было


Автор темы
alex-cqham
Интересующийся
Сообщения: 20
Зарегистрирован: 18 ноя 2015, 12:21
Репутация: 2
Статус: Не в сети

ESX Server уязвимость безопасности домена 2003-2008

Сообщение alex-cqham » 24 ноя 2015, 17:48


SMITH писал(а):Источник цитаты Тогда стоит копать ESX Server и принцип раздачи прав доступа на нём.

В 2009 обращался в службу поддержки vmware, так они все пароли все названия машин утянули, короче всю сеть. Теоретически они все видят, знать бы откуда было вторжение снаружи или свои.

Сам гипервизор не может вторгнуться, а вот перехватывать пароли и т.д. не знаю. Смущает, что аккурат три домена ведут себя не правильно.


Автор темы
alex-cqham
Интересующийся
Сообщения: 20
Зарегистрирован: 18 ноя 2015, 12:21
Репутация: 2
Статус: Не в сети

ESX Server уязвимость безопасности домена 2003-2008

Сообщение alex-cqham » 27 ноя 2015, 14:23


Краткий отчет, поставил два стерильных сервера ESXi 5, на след неделе попробую сгенерить или новый домен или только сервер, не покидает мысль, что не виртуальный сервер в течении 6 лет работает правильно. Возможно про него никто не знал, да и попал он ко мне физически в августе прошлого года.