Descobri uma vulnerabilidade na minha rede;
(tenha paciência comigo, pois estou apenas há duas semanas no trabalho e ainda em treinamento).
Qualquer usuário de ponto final (independentemente das permissões) pode emitir um comando NET USER /domain e visualizar todos os usuários no domínio. Mesmo que o acesso ao prompt de comando esteja desabilitado, isso pode ser contornado criando um arquivo de bloco de notas com COMMAND.COM e criando um arquivo em lote. Não podemos desabilitar arquivos em lote, pois eles são muito usados por usuários finais para tarefas normais.
Infelizmente, este comando mostra todos os nomes de usuário de nossas diversas contas de teste. Muitas dessas contas de teste têm senhas muito básicas e geralmente têm as mesmas senhas dos nomes de usuário. Existem literalmente centenas dessas contas de teste e seria muito inconveniente alterar as senhas/excluir as contas obsoletas.
Muitas dessas contas de teste têm privilégios elevados/de administrador (não me pergunte por que, parece uma grande violação em andamento).
Existe alguma maneira de impedir que o comando net user /domain seja executado? Eu sei que você pode auditar quem executou consultas de domínio, mas isso realmente não impede a vulnerabilidade.
Responder1
Orientação sobre como limitar isso:https://www.adamcouch.co.uk/disable-domain-user-enumeration/