И в очередной раз Kyocera сдала пароль администратора)

Пригласил меня как-то товарищ проверить состояние защищённости в своей организации. Праздное любопытство родилось из посыла, что “да любая “баба Нюра из бухгалтерии” может залезть в комп директора при желании и небольшой проф.переподготовки.”.

Для чистоты эксперимента решено было использовать только мисконфиг, без боевых эксплойтов, например, против бородатой MS17-010. Тем более, что по заверениям приятеля всё это они уже давно пропатчили.

Итак, погнали! Я не буду описывать полный кейс, лишь хочу отметить, что некогда описывал один вектор как нечто весьма спецефичное. Но, как выяснилось, это ни капли не единичный сценарий.

Описывалось тут:

Как опасные настройки МФУ помогли получить привилегии администратора

Кейс повторился “с точностью до муллиметра”. В ходе инвентаризации был обнаружен ряд МФУ небезызвестной марки.

Как всегда – дефолтный пароль. Иду в адресную книгу и вижу:

Создан какой-то адрес. Уже ручки зачесались поскорее посмотреть, что там вбито.

Традиционно – общий каталог, учётка и пароль (вытащить который из веб-интерфейса не представлялось возможным). Смутило (а точнее заинтересовало) то, что учётка оканчивалась на многообещающее “….admin”. Не, ну конечно, может быть заведено что-то типа “scan-admin”, общая учётная запись, прав у которой хватает лишь на то, чтобы записывать в общий каталог на сервере. Это было бы вполне себе нормально, думаю.

Качаем с Интернета Kyocera Net Viewer, коннектимся к нашей МФУшке.

Радость в том, что теперь пароль в оперативной памяти процесса, откуда его можно поддёрнуть уже известными средствами. Уже известные средства у меня под рукой не оказались. Но тут я вспомнил, что достаточно неплохой Hex есть в программке, знакомой моему поколению геймеров – ArtMoney. Качаем, запускаем. Подключаемся к процессу KYOCERA Net Viewer и ищем строковую переменную с именем пользователя.

Нашлось с десяток вхождений. Будем открывать каждое и смотреть, подходит ли оно визуально под XML-структуру.

На втором же вхождении видим примерно следующее:

И как всегда, пароль в открытом виде. Копируем, проверяем права на шаре при помощи CrackMapExec. И …. бум! Видим заветное (Pwn3d!). То есть на шаре имеем права локального администратора (а также не только на этом хосте, но и на многих других). Пока не в домене. Но и этого вполне достаточно. Открываю проводник от имени этой учётной записи и лезу к своему товарищу на рабочий стол. ))

Дальше мы решили раскрутить темку, посмотреть как далеко может зайти изначально непривилегированный пользователь. Ну а пока – некоторые выводы.

Некоторые выводы

1. То, что раньше казалось единичным кейсом – вполне может быть широко распространённой практикой.
2. Прописывать в принтера или куда-либо ещё админские учётки – плохо. Сделайте отдельного пользователя (нескольких, в группу) и этой группе нарежьте минимально необходимые привилегии.
3. Дефолтные логин-пароль в принетре/МФУ – плохо. Все массовые сканеры проверяют их со скоростью пули. А если кажется, что во взломе МФУ нет ничего страшного – то уж как минимум временный вывод из строя печатающего устройства – это может стать настоящей головной болью, для решения которой придётся потопать ножками (по сети уже может не войдёте).
4. Подручные инструменты вроде того же ArtMoney вполне сойдут за Hex-редактор )) Just for fun.
5. Без сильной необходимости вообще вывешивать административный интерфейс какого-либо оборудования в ту же сеть не надо. Вопрос времени, когда его сломают.

Вам так же понравится:

Как сбросить пароль администратора в Windows Как обойти пароль на вход в Windows? Яндекс в очередной раз “обосрались” Skeleton Key (ключ скелета) пароль к любой учётной записи домена Как восстановить пароль из резервной копии Mikrotik Crackmapexec берёт служебный пароль консоли Kaspersky Security Center