PenTales:“用户枚举不是一个漏洞”——我不敢苟同

最后更新于2024年1月3日(星期三)21:07:35 GMT

在Rapid7，我们喜欢好的测试故事. 所以他们经常表现出聪明, 技能, 弹性, 对客户安全的奉献只能来自于积极尝试打破它! 在本系列中, 我们将分享一些来自渗透测试台的我们最喜欢的故事，并希望强调一些您可以提高自己组织的安全性的方法.

This is a story of how a well defended network was compromised through user enumeration; a vulnerability which many organizations do not consider to be a “real” vulnerability. 对于外行人来说, 用户枚举漏洞是允许恶意行为者确定服务上的有效用户名的应用程序行为. 它们通常被用来设置后续尝试来猜测用户的密码.

我的任务是为一家中型公司进行外部渗透测试. 我通过执行端口扫描和服务枚举开始了约定, 并发现了少量可访问的web服务. 这导致了一个奇妙的发现:Outlook Web Access (OWA)被暴露了! OWA存在用户枚举漏洞，其中涉及有效用户名的身份验证请求与涉及无效用户名的身份验证请求产生不同的响应. 这可能允许恶意行为者使用不同的用户名提交无限制的身份验证请求, 并使用响应来确定给定用户是否存在于Exchange中. 我们认为微软自2014年以来一直意识到这个问题，但尚未修补它. 一些安全专家推测，这可能是因为微软(像许多其他公司一样)不认为用户枚举是一个漏洞.

我很快开始对该服务进行用户枚举. 在从领英(LinkedIn)获取员工姓名后, 营销数据库, 密码泄露数据库, 我将员工名强制转换为用户名格式，并根据OWA进行验证. 完成后，我从美国人口普查数据中提取流行的名字，并找到了其他有效的用户名. 当这一切完成后，我拥有了数百个用户名，我可以利用它们通过Metasploit进行密码喷雾攻击. 只花了一次尝试就成功了:一名支持工程师使用了一个经典的弱密码，它符合大多数密码策略, (季)(年)(特殊字符)!

我登录了这个用户的邮箱, 列举他们的收件箱, 并发现用户发送的支持请求中包含密码和敏感信息的明文形式! 如果恶意行为者获得这些, 鉴于密码重用的盛行，他们可能会登录到该公司客户或员工拥有的其他账户. 我还提取了Exchange全球地址列表，其中包含了公司的每个电子邮件地址，这对于进一步的密码喷雾攻击(或落入恶意行为者手中)非常有用, 用于商业电子邮件折衷攻击).

最后, 我观察到VMware Horizon, 一种用于向员工工作站提供远程访问的系统, 是否可以在公共互联网上访问. 当试图使用受损的凭据登录时，发现没有采用多因素身份验证. 我确定了一个活动的Windows虚拟机，并通过RDP登录, 让我在客户的内部网络中有了立足之地. 整个攻击链只用了不到一个小时，我的客户没有发现对内部系统的入侵.

退一步说，我的委托人惊呆了, 但通过我们的伙伴关系，我们确定了一套控制措施，可以减轻所有已确定的漏洞. 我们随后的对话也能够让我们帮助解决的测试范围之外的其他问题浮出水面, 我们共同努力，极大地减少了他们组织的攻击面.

我们相信这个评估证明了渗透测试的价值:漏洞扫描不会标记OWA用户枚举等发现, 使用弱密码的用户仍然符合密码策略, 以及缺乏MFA. 通过我们的渗透测试评估, 我们还可以通过识别和链接不同的漏洞来展示客户所面临的更全面的风险，只有熟练的人才能做到这一点. 然后，我们可以与他们合作，使用针对客户个人环境量身定制的策略，确保快速缓解风险.