![\"pentera_missconfig_1-min\"](\"https:\/\/relnet.hu\/wp-content\/uploads\/2022\/10\/pentera_missconfig_1-min.jpg\")
\ncenter<\/p>\n
Vizsg\u00e1ljunk meg p\u00e9ldak\u00e9nt k\u00e9t gyakori konfigur\u00e1ci\u00f3s hib\u00e1t:<\/p>\n
Gyakori megold\u00e1s a szervezetekn\u00e9l, hogy kiz\u00e1r\u00f3lag a domain t\u0171zfalukra t\u00e1maszkodnak, \u00e9s hajlamosak kikapcsolni a helyi\/v\u00e9gponti t\u0171zfalukat, megfeledkezve ezek gondos karbantart\u00e1s\u00e1r\u00f3l. Ez a gondatlans\u00e1g a portokon kereszt\u00fcl \u00fcthet vissza a h\u00e1l\u00f3zatra.<\/p>\n
A k\u00fcl\u00f6nb\u00f6z\u0151 szolg\u00e1ltat\u00e1sok \u00e9s alkalmaz\u00e1sok futtat\u00e1s\u00e1hoz sz\u00fcks\u00e9ges portokat a szervezeti t\u0171zfalon kereszt\u00fcl tudunk megnyitni. Id\u0151r\u0151l id\u0151re ezek az alkalmaz\u00e1sok t\u00f6rl\u00e9sre ker\u00fclhetnek a v\u00e9gpontokr\u00f3l. Ilyen esetekben a t\u00f6r\u00f6lt alkalmaz\u00e1shoz tartoz\u00f3 port z\u00e1rt st\u00e1tuszba ker\u00fcl, azonban a helyi t\u0171zfalszab\u00e1ly tov\u00e1bbra is enged\u00e9lyezi kapcsolat l\u00e9trehoz\u00e1s\u00e1t a z\u00e1rt porton. Ezt pedig hajlamosak vagyunk figyelmen k\u00edv\u00fcl hagyni.<\/p>\n
De mi\u00e9rt sz\u00e1m\u00edt konfigur\u00e1ci\u00f3s hib\u00e1nak, ha egy portot z\u00e1rt st\u00e1tuszban hagyunk? Tekints\u00fck \u00e1t a h\u00e1rom leggyakoribb port st\u00e1tuszt:<\/p>\n
\u2022 Nyitott port \u2013 Az alkalmaz\u00e1s vagy szolg\u00e1ltat\u00e1s fut, \u00e9s kapcsolatot fogad a porton kereszt\u00fcl<\/p>\n
\u2022 Sz\u0171rt (\u201efiltered\u201d) port \u2013 Valamilyen biztons\u00e1gi eszk\u00f6z, p\u00e9ld\u00e1ul egy t\u0171zfal vagy router, blokkolja \u00e9s sz\u0171ri a porton kereszt\u00fcli kapcsolatot<\/p>\n
\u2022 Z\u00e1rt port \u2013 Nincs alkalmaz\u00e1s vagy szolg\u00e1ltat\u00e1s, amely akt\u00edvan kapcsolatot v\u00e1r a porton. Egy z\u00e1rt port azonban b\u00e1rmikor \u00fajranyithat\u00f3 egy alkalmaz\u00e1s elind\u00edt\u00e1s\u00e1val<\/p>\n
M\u00e1s sz\u00f3val, a t\u00e1mad\u00f3k a h\u00e1l\u00f3zat z\u00e1rt portjait k\u00e9pesek arra haszn\u00e1lni, hogy kapcsolatot hozzanak l\u00e9tre eszk\u00f6zeik \u00e9s a h\u00e1l\u00f3zat eszk\u00f6zei k\u00f6z\u00f6tt, \u00e9s rosszindulat\u00fa parancsok v\u00e9grehajt\u00e1s\u00e1ra haszn\u00e1lj\u00e1k \u0151ket. Ezt az elj\u00e1r\u00e1st angol szaksz\u00f3val \u201ebind shell\u201d-nek nevezz\u00fck.<\/p>\n
A kiberb\u0171n\u00f6z\u0151k teh\u00e1t meg tudj\u00e1k t\u00e1madni a szervezeti t\u0171zfal \u00e1ltal v\u00e9dett eszk\u00f6zeinket a z\u00e1rt portokon kereszt\u00fcl.<\/p>\n
A hackerek egy \u2019payload\u2019-ot, azaz hasznos adatot, k\u00fcldenek az eszk\u00f6znek a 445-\u00f6s (SMB) porton, melyet a szervezeti t\u0171zfal \u00e1tenged. A payload ezut\u00e1n megpr\u00f3b\u00e1l kommunik\u00e1ci\u00f3t l\u00e9tes\u00edteni egy \u201ereverse shell\u201d-t alkalmazva vissza a t\u00e1mad\u00f3hoz, a 4444-es porton kereszt\u00fcl, azonban ezt m\u00e1r blokkolja a szervezeti t\u0171zfal (l\u00e1sd az 1. \u00e1br\u00e1t).
\njustify
\nno-repeat;left top;;
\nauto<\/p>\n
\ncenter<\/p>\n
A hacker \u00fagy gondolja, sikertelen\u00fcl j\u00e1rt, mikor \u00e9szreveszi, hogy a 88-as port z\u00e1rt st\u00e1tuszban van \u00e9s nem lett a t\u0171zfal \u00e1ltal kisz\u0171rve. Mivel a 88-as port egy alap\u00e9rtelmezett Kerberos port, a hacker \u00fagy d\u00f6nt, hogy egy \u201ecommand and control\u201d (C&C) kapcsolatot hoz l\u00e9tre a bind porton kereszt\u00fcl, \u00e9s ezzel rosszindulat\u00fa parancsokat hajt v\u00e9gre a hoszt eszk\u00f6z\u00f6n. Ebben az esetben a t\u00e1mad\u00e1s m\u00e1r sikerrel fog j\u00e1rni (l\u00e1sd a 2. \u00e1br\u00e1t).
\njustify
\nno-repeat;left top;;
\nauto<\/p>\n
![\"pentera_missconfig_2-min\"](\"https:\/\/relnet.hu\/wp-content\/uploads\/2022\/10\/pentera_missconfig_2-min.jpg\")
\ncenter
\n2. \u00e1bra<\/p>\n
Ezen a ponton a potenci\u00e1lis k\u00e1rok m\u00e9rt\u00e9ke a felt\u00f6rt hoszt jogosults\u00e1gait\u00f3l f\u00fcgg.<\/p>\n
A szolg\u00e1ltat\u00e1sok \u00e9s alkalmaz\u00e1sok feh\u00e9rlist\u00e1z\u00e1sa egy m\u00e1sik gyakori, vesz\u00e9lyes konfigur\u00e1ci\u00f3s hibalehet\u0151s\u00e9g. A t\u00falzottan megenged\u0151 ir\u00e1nyelveket a t\u00e1mad\u00f3k kihaszn\u00e1lhatj\u00e1k NTML jelsz\u00f3 \u201ehash\u201d-ek kinyer\u00e9s\u00e9re, de ak\u00e1r domainek vagy felhaszn\u00e1l\u00f3k jelszavait is megszerezhetik az LSASS folyamaton kereszt\u00fcl.<\/p>\n
A t\u00e1mad\u00f3 egy kritikus t\u00e1voli k\u00f3dfuttat\u00e1si sebezhet\u0151s\u00e9gen kereszt\u00fcl k\u00e9pes \u00e1tvenni az ellen\u0151rz\u00e9st a sz\u00e1m\u00edt\u00f3g\u00e9p felett, el\u0151zetes hiteles\u00edt\u00e9s n\u00e9lk\u00fcl. M\u00e1sk\u00e9ppen fogalmazva, a t\u00e1mad\u00f3 kihaszn\u00e1l egy olyan biztons\u00e1gi r\u00e9st, amely lehet\u0151v\u00e9 teszi nem hiteles\u00edtett felhaszn\u00e1l\u00f3k sz\u00e1m\u00e1ra, hogy RCE-t hajtsanak v\u00e9gre a s\u00e9r\u00fcl\u00e9keny hoszton.
\njustify
\nno-repeat;left top;;
\nauto<\/p>\n
![\"pentera_missconfig_3-min\"](\"https:\/\/relnet.hu\/wp-content\/uploads\/2022\/10\/pentera_missconfig_3-min.jpg\")
\ncenter
\n3. \u00e1bra<\/p>\n
A t\u00e1mad\u00f3 ezut\u00e1n kibontja a SAM-f\u00e1jlt, hozz\u00e1f\u00e9rve az \u00e1ldozat gazdag\u00e9p helyi rendszergazd\u00e1j\u00e1nak NTLM-kivonat\u00e1hoz (\u201eHost A\u201d a 3. \u00e1br\u00e1n), majd a t\u00e1mad\u00f3 az NTLM-kivonatot haszn\u00e1lja a hiteles\u00edt\u00e9shez, \u00e9s helyi admin jogokat kap, amelyek seg\u00edts\u00e9g\u00e9vel egy\u00e9rtelm\u0171 sz\u00f6veges jelszavakat vagy tov\u00e1bbi NTLM-kivonatokat von ki az LSASS folyamatb\u00f3l.<\/p>\n
Ha az \u2019A\u2019 hoszton fut\u00f3 \u201eWindows Error Reporting\u201d szolg\u00e1ltat\u00e1st kor\u00e1bban hibakeres\u00e9si c\u00e9lb\u00f3l feh\u00e9rlist\u00e1ra helyezt\u00e9k, az EDR vagy a v\u00edrusirt\u00f3 nem fog reag\u00e1lni a t\u00e1mad\u00e1sra.<\/p>\n
Teh\u00e1t, ha a t\u00e1mad\u00f3 megk\u00eds\u00e9rli a hiteles\u00edt\u0151 adatok kibont\u00e1s\u00e1t a Windows hibajelent\u0151 seg\u00edts\u00e9g\u00e9vel, sikerrel fog j\u00e1rni. A t\u00e1mad\u00f3 az LSASS folyamatb\u00f3l megszerzi egy domain admin NTLM-kivonat\u00e1t, amely tov\u00e1bbi vissza\u00e9l\u00e9sekre ad lehet\u0151s\u00e9get (l\u00e1sd a 4. \u00e1br\u00e1t).
\njustify
\nno-repeat;left top;;
\nauto<\/p>\n
![\"pentera_missconfig_4-min\"](\"https:\/\/relnet.hu\/wp-content\/uploads\/2022\/10\/pentera_missconfig_4-min.jpg\")
\ncenter
\n4. \u00e1bra<\/p>\n
Noha a szervezeti h\u00e1l\u00f3zatok hib\u00e1s konfigur\u00e1ci\u00f3j\u00e1nak sz\u00e1mtalan m\u00f3dja lehet, a legnagyobb vesz\u00e9ly azokban rejlik, amelyeket egy s\u00e9r\u00fcl\u00e9kenys\u00e9gvizsg\u00e1lat nem \u00e9szlel. Mindk\u00e9t fenti p\u00e9lda ebbe a kateg\u00f3ri\u00e1ba esik, \u00edgy ezen hib\u00e1k kijav\u00edt\u00e1s\u00e1nak els\u0151 helyen kell \u00e1llnia a teend\u0151ink list\u00e1j\u00e1n.<\/p>\n
A Pentera penetr\u00e1ci\u00f3s tesztel\u00e9si megold\u00e1s\u00e1nak automatikus biztons\u00e1gi valid\u00e1ci\u00f3ja (ASV) az egyik legjobb m\u00f3dszer arra, hogy fel tudjuk fedni h\u00e1l\u00f3zatunk hib\u00e1s konfigur\u00e1ci\u00f3it.<\/p>\n
Ez a technol\u00f3gia k\u00e9pes etikus hackerek \u00e1ltal v\u00e9gzett penetr\u00e1ci\u00f3s tesztel\u00e9st egy szoftver erej\u00e9vel v\u00e9grehajtani h\u00e1l\u00f3zatunk teljes – k\u00fcls\u0151 \u00e9s bels\u0151 – t\u00e1mad\u00e1si fel\u00fclet\u00e9n. Seg\u00edts\u00e9g\u00e9vel elker\u00fclhetj\u00fck a hamis pozit\u00edv jelz\u00e9sekkel j\u00e1r\u00f3 vesz\u00e9lyeket, \u00e9s prioriz\u00e1lhatjuk a jav\u00edt\u00e1sokat. Kitetts\u00e9geink ismerete pedig lehet\u0151v\u00e9 teszi, hogy er\u0151forr\u00e1sainkat a val\u00f3di biztons\u00e1gi hi\u00e1nyoss\u00e1gok k\u00f6lts\u00e9ghat\u00e9kony orvosl\u00e1s\u00e1ra \u00f6sszpontos\u00edtsuk.<\/p>\n