О Заказчике
Производственная компания, занимает 3 место в мире в отрасли. Штат более 2000 сотрудников. Производственная площадь – 200 000 м2. Местонахождение – Южный федеральный округ Российской Федерации.
Цель
Получить полный контроль над локальным доменом из гостевого сегмента сети методом "черного ящика" (в отсутствие данных о конфигурации сети).
Что сделано
1) Проникновение из сегмента гостевой сети в корпоративный:
- сканирование сегментов и анализ трафика;
- изменение режима коммутационного порта;
- идентификация виртуальной локальной сети;
- получение IP-адреса.
- сканирование сегмента сети и поиск уязвимых хостов;
- доступ к уязвимым хостам и данных из локальных учетных записей;
- получение данных учетной записи пользователя домена;
- исследование доменной структуры;
- получение списка пользователей домена из группы администраторов.
- Способ 1. Найдена учетная запись, имеющая доступ к большинству хостов в подсети сервера. С каждого получен список активных пользователей. Некоторые содержат активную учетную запись администратора домена. Получены его аутентификационные данные.
- Способ 2. Подделка тикета kerberos и указание максимальных привилегий (возможность доступа к любой доменной рабочей станции). Получение учетных данных администратора домена.
Результат
Контроль над доменом получен, цель достигнута. По просьбе Заказчика он был проинформирован обо всех остальных обнаруженных уязвимостях:- риск несанкционированного доступа к информации через уязвимости ОС и ПО с устаревшим списком установленных обновлений;
- риск возникновения значительных проблем в сети и телефонии из-за несанкционированного доступа к конфигурации сетевых устройств;
- возможность анализа ситуации на объектах компании и настройки охранной видеосистемы путем доступа к соответствующей системе;
- риск доступа к некоторым IT-сервисам (внутренний почтовый сервер, телефонный справочник) для анализа имен пользователей;
- риск доступа к устройствам управления производственными линиями.
Ценность для Заказчика
- Обнаружены ранее не исследованные критические угрозы для бизнеса.
- Выявлена уязвимость, которая может привести к остановке бизнеса (доступ к ПЛК, потери более 20 млн рублей ежедневно в случае простоя).
- На основе найденного списка уязвимостей подготовлен план повышения уровня защищенности информационных ресурсов.