Descubrí una vulnerabilidad en mi red;
(tengan paciencia conmigo, ya que solo llevo unas 2 semanas en el trabajo y todavía estoy entrenando).
Cualquier usuario de punto final (independientemente de los permisos) puede emitir un comando NET USER /domain y ver todos los usuarios del dominio. Incluso si el acceso al símbolo del sistema está deshabilitado, esto se puede solucionar creando un archivo de bloc de notas con COMMAND.COM y creando un archivo por lotes. No podemos desactivar los archivos por lotes, ya que los usuarios finales los utilizan mucho para tareas normales.
Lamentablemente, este comando muestra todos los nombres de usuario de nuestras distintas cuentas de prueba. Muchas de estas cuentas de prueba tienen contraseñas muy básicas y, a menudo, tienen las mismas contraseñas que los nombres de usuario. Hay literalmente cientos de estas cuentas de prueba y sería muy inconveniente cambiar las contraseñas/eliminar las cuentas obsoletas.
Muchas de estas cuentas de prueba tienen privilegios elevados/de administrador (no me pregunten por qué, parece una brecha enorme en ciernes).
¿Hay alguna manera de evitar que se ejecute el comando net user/domain? Sé que puedes auditar quién ha ejecutado consultas de dominio, pero esto realmente no previene la vulnerabilidad.
Respuesta1
Orientación sobre cómo limitar esto:https://www.adamcouch.co.uk/disable-domain-user-enumeration/