In een vorige blog heb ik aangegeven wat dieper in te zullen gaan op één van de unieke features van NodeZero by NetBoss, namelijk chaining.
NodeZero kan zonder credentials en autonoom een volwaardige pentest uitvoeren. Tijdens de pentest worden dezelfde aanvalstechnieken en tools gebruikt die ook door hackers worden gebruikt. Ook worden aanvalspatronen gevolgd die alleen gebruikt worden bij geavanceerde aanvallen. Chaining is daar een belangrijk onderdeel van. Bij chaining worden kwetsbaarheden, verzamelde inloggegevens, misconfiguraties en gevaarlijk productdefaults gecombineerd en gebruikt binnen een aanval.
Veel organisaties gebruiken al vulnerability scanners en één van de problemen met vulnerability scanners is de grote hoeveelheid niet in context geplaatste informatie die terugkomt. De lijst met kwetsbaarheden wordt vaak op basis- en in volgorde van de CVE-score aangepakt waardoor kwetsbaarheden met lagere scores vaak laat of niet verholpen worden. Dit is gevaarlijk omdat kwetsbaarheden met een lage CVE-score gecombineerd met elkaar soms een heel ander beeld kunnen geven. Voeg daar misconfiguraties, verzamelde credentials en gevaarlijke productdefaults aan toe en je begrijpt waarom chaining zo belangrijk is en zoveel toevoegt.
Er volgt nu een gedetailleerd voorbeeld van een case waar chaining uiteindelijk heeft geleid tot een domain compromise. Dit is een voorbeeld van een resultaat uit een pentest die in productie is uitgevoerd.
De volledig autonome aanval heeft gebruik gemaakt van twee kwetsbaarheden en leidde binnen 33 minuten en 9 seconden tot de domain compromise.
NodeZero is gestart vanaf host 10.0.222.200
NodeZero ontdekte de host 10.0.4.4.
NodeZero ontdekte een Java service op 10.0.4.4 port 1099
NodeZero ontdekte dat er sprake was van H3-2020-0022: Insecure Java JMX Configuration onder de Java service op 10.0.4.4 port 1099
Het bestand C:\Windows\win.ini werd via de RCE-kwetsbaarheid buit gemaakt
NodeZero startte een Remote Access Tool op host 10.0.4.4 om verder misbruik te maken van H3-2020-0022: Insecure Java JMX Configuration
NodeZero maakte gebruik van de Remote Access Tool onder het administrator account op 10.0.4.4 en ontdekte H3-2021-0042: Credential Dumping – Security Account Manager (SAM) Database
NodeZero ontdekte een NTLM Hash voor de gebruiker cbr-user door gebruik te maken van H3-2021-0042: Credential Dumping – Security Account Manager (SAM) Database
NodeZero ontdekte een Domain Controller 10.0.4.1 (dc01.pod04.h3airange.internal)
NodeZero ontdekte de SMB service op domain controller 10.0.4.1 (dc01.pod04.h3airange.internal) port 445
NodeZero verifieerde de credentials voor domain admin cbr-user in domain POD04.H3AIRANGE.INTERNAL op de SMB service op domain controller 10.0.4.1 (dc01.pod04.h3airange.internal) port 445
Bewijs dat NodeZero, na 33 minuten en 9 seconden, tot een domain compromise en domain user compromise kwam
Tijdens de aanval heeft NodeZero misbruik gemaakt van 2 kwetsbaarheden:
Binnen het aanvalspad werd er misbruik gemaakt van 1 compromised credential:
Er waren 2 hosts betrokken bij deze aanval:
Zodra een domein is gecompromitteerd, moeten alle hosts, domain user accounts, data infrastructuur, en applicaties gekoppeld aan dat domein, als volledig gecompromitteerd worden beschouwd. Bovendien moeten ook alle applicaties die worden uitgevoerd op een domain-joined computer of gebruik maken van Active Directory integratie ten behoeve van user-authenticatie, als volledig gecompromitteerd worden beschouwd.
Het fixen van de Insecure Java JMX Configuration kwetsbaarheid had in dit geval 28% van de kritische impacts verholpen. NodeZero begeleidt u stap voor stap met het oplossen van de gevonden kwetsbaarheden.
Bron praktijkvoorbeeld: https://www.horizon3.ai/nodezero-pivots-through-your-network-with-the-attackers-perspective/
Find-Fix-Verify met NodeZero by NetBoss
Voer een pentest uit op uw omgeving
Voer weer een pentest uit om te verifiëren dat de fixes goed zijn doorgevoerd
Stel prioriteiten en los die problemen op die er echt toe doen
Datum | Organisatie | Beschrijving | Bron |
---|---|---|---|
25-07-2024 16:04 | 25-07-2024 16:04 | 23-07-2024 | Onbekende organisaties |
AP rapporteert non-conformiteit bij boa-werkgevers omtrent Wet politiegegevens | NU.nl | 25-07-2024 16:00 | |
25-07-2024 16:00 | 23-07-2024 | Ministerie van Defensie | |
Datalek bij Defensie: medewerkersgegevens onterecht gedeeld met vakbonden | Het ministerie van Defensie heeft gedurende reorganisaties onrechtmatig persoonsgegevens van medewerkers gedeeld met vakbonden, wat in strijd is met de AVG. Namen en functionele beoordelingen waren onder de gedeelde informatie. Een nieuwe tijdelijke werkwijze met geanonimiseerde data wordt nu gehanteerd, terwijl een definitieve aanpak nog wordt ontwikkeld met externe adviseurs. Een datalek is gemeld bij de Autoriteit Persoonsgegevens. Er zijn nog geen meldingen van directe schade aan getroffen individuen. (Bron: security.nl) | 20-07-2024 19:46 | 20-07-2024 19:46 |
18-07-2024 | 01-04-2024 | Tijdelijke blootstelling van persoonsgegevens bij Waterschap Zuiderzeeland door configuratiefout | |
Waterschap Zuiderzeeland ontdekte een tijdelijk datalek veroorzaakt door een onjuist geconfigureerde koppeling op hun geo-data, waardoor persoonsgegevens onbedoeld toegankelijk werden. Het lek, actief van begin april tot half juni, stelde gegevens bloot die alleen door technisch onderlegde personen toegankelijk waren. Er is geen bewijs van misbruik gevonden. De organisatie heeft direct actie ondernomen door de toegang te sluiten en een melding te maken bij de Autoriteit Persoonsgegevens. (Bron: zuiderzeeland.nl) | Waterschap Zuiderzeeland | 19-07-2024 20:53 | 19-07-2024 |
19-07-2024 | Glow FM | Glow FM getroffen door ransomware aanval van de criminele organisatie Ransomhouse | De criminele organisatie Ransomhouse heeft op het darkweb aangekondigd dat zij Glow FM heeft getroffen met een ransomware-aanval en losgeld heeft geëist. (Bron: ccinfo.nl) |
Cybercrimeinfo.nl | 19-07-2024 20:52 | 19-07-2024 | 19-07-2024 |
KuiperCompagnons | De criminele organisatie Ransomhouse heeft op het darkweb aangekondigd dat zij KuiperCompagnons heeft getroffen met een ransomware-aanval en losgeld heeft geëist. (Bron: ccinfo.nl) | Cybercrimeinfo.nl | |
17-07-2024 11:50 | 17-07-2024 11:50 | 01-04-2020 | Kruidvat |
Kruidvat krijgt boete voor plaatsing trackingcookies zonder toestemming | Tweakers.net |
NodeZero helpt u te concentreren op het oplossen van problemen die daadwerkelijk kunnen worden misbruikt, waardoor u en uw team worden behoed voor het opsporen van kwetsbaarheden die niet kunnen worden misbruikt en ‘false-positives’
U kunt uw hele IT-landschap binnen enkele uren toetsen waar u normaal weken of zelfs maanden op moet wachten voordat consultants handmatig scans uitvoeren en rapporten produceren
Met behulp van de NodeZero oplossing configureert u uw scope en aanvalsparameters om een penetratietest op uw netwerk uit te voeren. U bent van begin tot eind eigenaar van uw pentest(en)
NodeZero is een SaaS-oplossing die 24×7 beschikbaar is. Wacht geen maanden voor het uitvoeren van nieuwe testen. Evalueer continue uw beveiligingsmaatregelen en identificeer- en herstel proactief aanvalsvectoren zodra deze worden ontdekt
Met NodeZero kunt u uw hele netwerk beoordelen vanuit het standpunt van de aanvaller, niet slechts op basis van een theoretische aanname. Ons algoritme registreert uw externe, on-prem, IoT-, identiteits- en cloud aanvalsgebieden
Geen lokale software nodig
Geen geregistreerde inloggegevens
Geen aanvalsscripts om te schrijven
U kunt binnen enkele minuten aan de slag en u ontvangt de resultaten binnen enkele uren