4
Frage zu Windows Access Tokens
Hallo,
bei einer Sicherheitsüberprüfung wurde festgestellt, das die Access Tokens erst nach einem Reboot gelöscht werden.
Die Empfehlung dieser Firma war nun das diese Access Tokens nach dem Abmelden des Benutzers gelöscht werden.
In dem Bericht steht das sie ein Tool names 'incognito' benutzt haben.
Ich suche habe Google und auch Technet/MSDN befragt, habe aber nichts brauchbares finden können.
Das einzige was ich bis jetzt gefunden habe war eine Power Point Presäntation mit unter anderem folgenden Inhalt:
I'm currently logged off. My account is safe...right?
It is supposed to be as all tokens should be cleaned up when a session ends (for example, when you log off in the case of an interactive login)
Whilst researching this topic I stumbled upon a case where this isn't true
On unpatched systems the tokens for interactive logins appear to persist after logoff.
Tokens are only reported as impersonation level tokens through the W32 API but if you try to use them it turns out they can access network resources!
Tokens do not disappear until reboot
Kennt sich vielleicht jemand damit aus und kann mir bei diesem Problem helfen ?
Vielen Dank
Gruß Andreas
bei einer Sicherheitsüberprüfung wurde festgestellt, das die Access Tokens erst nach einem Reboot gelöscht werden.
Die Empfehlung dieser Firma war nun das diese Access Tokens nach dem Abmelden des Benutzers gelöscht werden.
In dem Bericht steht das sie ein Tool names 'incognito' benutzt haben.
Ich suche habe Google und auch Technet/MSDN befragt, habe aber nichts brauchbares finden können.
Das einzige was ich bis jetzt gefunden habe war eine Power Point Presäntation mit unter anderem folgenden Inhalt:
I'm currently logged off. My account is safe...right?
It is supposed to be as all tokens should be cleaned up when a session ends (for example, when you log off in the case of an interactive login)
Whilst researching this topic I stumbled upon a case where this isn't true
On unpatched systems the tokens for interactive logins appear to persist after logoff.
Tokens are only reported as impersonation level tokens through the W32 API but if you try to use them it turns out they can access network resources!
Tokens do not disappear until reboot
Kennt sich vielleicht jemand damit aus und kann mir bei diesem Problem helfen ?
Vielen Dank
Gruß Andreas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 112108
Url: https://administrator.de/contentid/112108
Printed on: April 24, 2024 at 22:04 o'clock
4 Comments
Latest comment
Hallo!
Zitat aus Deiner Powerpoint-Präse (selbe Seite wie Obiges):
Wie habt Ihr das bei Euch festgestellt, wenn ich fragen darf?
Ist Euch bewußt, dass zur Ausnutzung ein bereits kompromittiertes System und "evtl. Debug-Privilegien" benötigt werden (so die Blackhats)?
Ich würde mir bei Sicherheitschecks doch eher um weitaus banalere Dinge Sorgen machen, bzw. erstmal sicherstellen, dass die Problematik erstmal richtig skizziert wird:
Was (Wert/Zugänglichkeit) wollen wir gegen wen oder was schützen?
Zitat aus Deiner Powerpoint-Präse (selbe Seite wie Obiges):
Therefore, if you logged into "that ropey old development system" briefly a month ago as a Domain Admin then your entire Windows Domain just got 0wned! 
Sicher... unter Randumständen, die der Autor selbstredend überhaupt nicht näher anspricht bzw. verklausuliert ("On unpatched systems" - was soll das heißen? OS? Patchstand??) und bei gleichzeitigem Tiefdruckgebiet mag das klappen. Auch wenn die Präsentation offenbar aktuell ist, ist sie doch schon auf einer Blackhat-Konferent 2006 Thema gewesen - Evtl. vollkommen überholt?Wie habt Ihr das bei Euch festgestellt, wenn ich fragen darf?
Ist Euch bewußt, dass zur Ausnutzung ein bereits kompromittiertes System und "evtl. Debug-Privilegien" benötigt werden (so die Blackhats)?
Ich würde mir bei Sicherheitschecks doch eher um weitaus banalere Dinge Sorgen machen, bzw. erstmal sicherstellen, dass die Problematik erstmal richtig skizziert wird:
Was (Wert/Zugänglichkeit) wollen wir gegen wen oder was schützen?
Hallo,
vielan Dank für Deine Antwort. Dein Zitat kommt mir bekannt vor ;)
Ich selber bin Praktikant in der Firma wo ich jetzt bin und im Rahmen einer Weiterbildung arbeite ich ein Projekt aus. Im Dezember 2008 war hier eine "Sicherheitsüberprüfung" die eine andere Firma durchgeführt hatte.
Ihre Aufgabe war es Sicherheitslücken in dem Netzwerk/Domäne zu finden. Diese Firma hat das Tool "incognito" eingesetzt und damit ein Konto aufgespührt and dessen Passwort nach ein paar Stunden aus einem Hashwert widerherstellen können. Dieses Konto war Mitglied der Gruppe Domänenadministratoren.
In dem Sicherheitsbericht, das wir von der Firma bekommen haben, stand dann etwas von impersonation tokens. Nun versuche ich herauszufinden, ob es dafür eine Lösung gibt.
Gruß Andreas
vielan Dank für Deine Antwort. Dein Zitat kommt mir bekannt vor ;)
Ich selber bin Praktikant in der Firma wo ich jetzt bin und im Rahmen einer Weiterbildung arbeite ich ein Projekt aus. Im Dezember 2008 war hier eine "Sicherheitsüberprüfung" die eine andere Firma durchgeführt hatte.
Ihre Aufgabe war es Sicherheitslücken in dem Netzwerk/Domäne zu finden. Diese Firma hat das Tool "incognito" eingesetzt und damit ein Konto aufgespührt and dessen Passwort nach ein paar Stunden aus einem Hashwert widerherstellen können. Dieses Konto war Mitglied der Gruppe Domänenadministratoren.
In dem Sicherheitsbericht, das wir von der Firma bekommen haben, stand dann etwas von impersonation tokens. Nun versuche ich herauszufinden, ob es dafür eine Lösung gibt.
Gruß Andreas
Hast Du als Praktikant das Wissen dafür parat? Nicht böse gemeint, aber das ist nicht ohne und nicht Sache eines Praktikums, sondern Sache der Leute, die den Penetrationstest ausgeführt hatten. Zur Sache: prüf doch mal nach, ob die Herren Incognito mit einem lokalen Admin ausführen durften. Dann gibt es nämlich auch ohne incognito Wege, an Passworthashes des Domänenadmins zu kommen, wenn dessen Kennwort gecached auf dem PC vorliegt.
Daraus sollte man eigentlich nur den Schluss ziehen: lokale Admins nur im Notfall und Passwortcaching lokal abschalten/auf nur ein Kennwort beschränken - Stichwort cachedlogonscount
Daraus sollte man eigentlich nur den Schluss ziehen: lokale Admins nur im Notfall und Passwortcaching lokal abschalten/auf nur ein Kennwort beschränken - Stichwort cachedlogonscount
Ich habe mal bei einer anderen Weiterbildung den MCSE gemacht. Habe viel mit Büchern gelernt, wenig Praxis. Ein bisschen Ahnung habe ich da schon.
So wie ich das in dem Bericht gelesen habe, ging der weg über den des lokalen Administrators.
Zur Zeit ist auch ein Dienst auf jeden Client installiert dessen Anmeldekonto Mitglied der Domänenadministratoren ist. Das soll nun alles geändert werden.
Vielen Dank auch für Deine Antwort, das hilft mir schon mal sehr gut weiter.
So wie ich das in dem Bericht gelesen habe, ging der weg über den des lokalen Administrators.
Zur Zeit ist auch ein Dienst auf jeden Client installiert dessen Anmeldekonto Mitglied der Domänenadministratoren ist. Das soll nun alles geändert werden.
Vielen Dank auch für Deine Antwort, das hilft mir schon mal sehr gut weiter.
