Glory to Ukrain!

Because of the current state of cybersecurity, and to protect the COMPANY networks in Ukraine, I have decided to publish easy to implement and free instructions for protecting Windows environments against an invader. Read the whole thread and if you find it useful à Retweet!

I could tell you that you should remove end-user admin rights, deploy AppLocker etc. but in reality those are not done in a matter of days. So these instructions are meant to give fast gains and real-life effect in defending against cyber-attacks.

At the end of the day, security is simple. It’s more about correct ways of operating, concepts, than expensive products. In this thread I’m going through what I would personally do if I was at war and protections would have to upped to the next level in hours without disconnecting the systems from the Internet.

The instructions are meant to prevent losing your biggest treasure – the Directory Service. A few soldiers might be lost but the directory service will not be compromised. Companies don’t get on the news by having ransomware on one computer, but by someone controlling the whole infrastructure and keeping your operations as hostage.

These instructions are simple and apply to any company that uses a Directory Service (AD/AAD). These could be better by taking time with the customer and tailoring it for them – but now I aim to build instructions that work for most if not all.

You can always create better but remember that “in security, don’t let perfect be the enemy of good”. Now we need to DEPLOY things FAST so that innocent companies stay safe! There’s no time for “This is only 99% secure” or “There is probably a way around this”.

We need to make things BETTER, NOW! We can tweak and harden later, when we have the basics deployed.

1. Tier0-isolation. The holy grail of every attacker is a Domain Admin account. So that DA’s can’t be stolen, we block them from being used anywhere else than where they are needed. Link the following policy to every computer except your DC’s.

      Since you can’t use DA to manage anything but DC’s, you need to add the following setting to the policy, so that members of ComputerAdmins can manage the other computers.

3.     Same for Azure. You can achieve the same even if settings are not exactly the same. These pics show how I do it and how I block limited users from accessing the portal.. https://techcommunity.microsoft.com/t5/intune-customer-success/new-settings-available-to-configure-local-user-group-membership/ba-p/3093207

You can later tweak and split your AD into more tiers, deploy PAWs etc. Now the Tier0 isolation is the one you MUST DO NOW!

2. Containing PowerShell. PS is used by almost all malware. It attacks, takes orders and sends precious information to the attacker. So, let’s block it by adding Outbound Firewall Rules to the policy as seen in the pic:

3. UAC-settings in order. If you have computers that are logged in by admins, add this UAC setting to the policy. If you don’t, GREAT, your mitigating 80% of attacks!

4. Least Privilege. If you logon to your computer with an admin account at home or work, STOP RIGHT NOW! Your computer works better, longer and with less reinstallations. Even your SSD will last longer! 

Create yourself a separate Admin account and drop your current to a Limited user. If you have a fingerprint reader, register your index finger for your limited user and your middle finger for your admin. From now on you use your Admin-finger only when UAC requests elevation or to wave at Putin! 

5. Start to deploy the Privileged Access Workstation concept. Don’t surf the web and read email from a computer that can take down your network, like connecting with RDP to your DCs. Later you’ll do it cool with VMs but for now just operate safe. 

6. Use MFA everywhere. If you have servers that accept RDP, protect them with for example Cisco DUO. Do the same for the computers you use to manage your services. If you don’t need RDP, block it!

REMEMBER “In security, don’t let perfect be the enemy of good”. We can tweak, harden and play smart later – Let’s DO THIS NOW! 

I would recommend everyone to read Mikko Hyppönen’s book “Internet”, but it’s currently encrypted in Elvish: https://www.wsoy.fi/kirja/mikko-hypponen/internet/9789510464410

I originally first wrote this for the Finnish audience to protect my own country in the war times but the real aim was to publish this for the Ukranian companies, which I did earlier today. Against the norm, I finally translated this to English as the last language. My future content will be in one of these languages, let's see ;) 

Thanks for reading, stay safe – Glory to Ukraine!

Kunnia Ukrainalle

 

Muuttuneen kyberturvallisuustilanteen johdosta, maanpuolustushengessä, päätin julkaista mahdollisimman yksinkertaiset ohjeet Windows-ympäristön puolustamiseen, ulkoista hyökkääjää vastaan. LUE KOKO KETJU, ja jos koet, että tästä on hyötyä à Retweet!

 

For all my English followers, normally I would tweet in English but this is a matter of protecting my own country. I’ll translate ASAP, until à Google.

 

Voisin ohjeistaa, että teidän pitää ottaa pois admin-oikat, asentaa AppLocker jne. mutta tosiasia on, että näitä ei tehdä päivässä, eikä kahdessa. Joten seuraavassa nopeat ohjeet, joilla on oikeasti merkitystä ja välitön teho, kyberhyökkäyksiä vastaan.

 

Tietoturva on lopulta yksinkertaista. Kyse on enemmän oikeista toimintatavoista, konsepteista, kuin kalliista tuotteista. Seuraavassa käyn läpi, mitä tekisin, jos olisin sotatilanteessa ja suojaus pitäisi saada äkkiä nostettua potenssiin kaksi, irroittamatta verkkoa Internetistä.

 

Ohjeet on tehty estämään kokonaisen ympäristön menetys. Pari sotilasta voidaan tässä menettää, mutta estetään vierasta tahoa valtaamasta koko firmaa. Yritykset eivät joudu uutisiin, koska heidän käyttäjä saa ransomwaren, vaan siksi, että koko yrityksen toiminta voidaan lamauttaa.

 

Ohjeet ovat yksinkertaisia, jotka auttavat kaikkia yrityksiä, joilla on hakemistopalvelu(AD/AAD). Näistä saadaan paremmat, jos yhdessä tehdään, juuri teille – Nyt kuitenkin on tarkoitus tehdä ohjeita, jotka sopivat kaikille.

 

Aina voi parantaa, mutta muistakaa, että tietoturvassa ei saa antaa täydellisen olla hyvän vihollinen. Nyt pitää TEHDÄ näitä asioita, jotta maan yritykset pysyvät turvassa! Ei ole aikaa siihen, että “Tämä ei ole 100% turvallinen” tai “Tämä vuotaa kuitenkin”.

Nyt parannetaan olemassa olevaa. Tehdään täydellisempää sitten kun perussuojaukset on kytketty!

 

1.       Tier0-suojaus. Jokaisen hyökkäyksen graalin malja on Domain Admin -tunnus. Jotta sitä ei voi varastaa, sen käyttö estetään siellä missä sitä ei tarvita. Osoita seuraava policy kaikille koneille, paitsi DC-koneille.

2.       Koska nyt et voi Domain Admin -tunnuksilla hallita kuin DC-koneita, lisätään seuraavalla policyllä asetus, jotta jatkossa käyttäjä, joka kuuluu ryhmään ComputerAdmins, saa hallita muita koneita.

3.       Sama Azuressa. Voit hoitaa saman, hieman eri tavoin. Tässä kuvissa vinkkiä miten teen sen Azuressa, ja toisessa miten estät käyttäjiä kirjautumasta portaaliin. https://techcommunity.microsoft.com/t5/intune-customer-success/new-settings-available-to-configure-local-user-group-membership/ba-p/3093207

Kun nämä on tehty, voit sitten myöhemmin hoitaa tämän tyylikkäämmin ja hajauttaa hallintaa vielä enemmän, ottaa käyttöön PAW:it yms. Nyt kuitenkin tuo DC:n suojaus on se tärkeä asia!

5.       PowerShell:in kommunikoinnin esto. PS:ää käytetään käytännössä kaikissa hyökkäyksissä. Se hyökkää, hakee käskyjä ja lähettää elintärkeää dataa hyökkääjälle. Estetään se, lisäämällä edellisellä policyllä Palomuurille Outbound-sääntöjä, kuvan mukaisesti:

6.       UAC-asetukset kuntoon. Jos sinulla on koneita, joihin joku kirjautuu Admin-tunnuksella, lisää tämä UAC-asetus tuohon policyyn. Jos ei, hienoa, 80% hyökkäyksistä ei toimi sinuun!

7.       Admin-tunnukset. Jos itse kirjaudut koneellesi admin-tunnuksella, kotona tai töissä, LOPETA SE! Koneesi toimii paremmin, joudut asentamaan sen harvemmin uudelleen ja SSD:si elää pidempään.

8.       Tee itsellesi toinen tunnus, joka on Admin, ja pudota nykyinen tavalliseksi käyttäjäksi. Jos sinulla on sormenjälkilukija, rekisteröi etusormi normikäyttäjälle ja keskisormi admin-käyttäjälle. Tästä lähtien käytät Admin-sormea vain UAC-kehotteen kysyessä, tai Putinille heiluttaessa.

9.       Siirtykää PAW-ajatteluun (Privileged Access Workstation), eli älkää surffatko niiltä koneilta, joilta teidän firman voi pudottaa polvilleen. Esim. Avata RDP-yhteyden DC-koneelle. Sitten joskus teette sen hienosti virtuaalikoneella, mutta nyt alkuun, toimikaa oikein.

10.   Ota MFA käyttöön kaikkialla. Jos sinulla on palvelimia, joissa RDP on auki, suojaa ne vaikka Cisco DUO:lla. Samoin ne koneet, joita käytät hallintaan. Jos et käytä RDP:tä, sulje se.

11.   Muista vielä “In security, don’t let perfect be the enemy of good”. Tee nyt nämä, hienostellaan ja viisastellaan sitten myöhemmin.

12.   Näiden lisäksi, lukekaa Hyppösen Mikon kirja “Internet” https://www.wsoy.fi/kirja/mikko-hypponen/internet/9789510464410

13.   Käännätän nämä seuraavaksi Ukrainaksi, sitten julkaisen myös Englanniksi. Kiitos.

Glory to Ukrain

 

Через поточний стан кібербезпеки, та для захисту КОРПОРАТИВНИХ мереж в Україні я вирішив опублікувати прості та безкоштовні інструкції щодо захисту середовищ Windows від зловмисників. Прочитайте весь тред і, якщо вважаєте його корисним, зробіть ретвіт!

 

Я міг би сказати, що ви повинні видалити права адміністратора кінцевих користувачів, налаштувати AppLocker і так далі, але це не робиться за кілька днів. Тому, ці інструкції призначені для отримання швидкого та реального ефекту захисту від кібератак.

 

Безпека може бути простою. Це швидше про правильні шляхи роботи, концепції, ніж про дорогі продукти. У цьому треді я розповім про те, що б я зробив особисто, якби працював в умовах війни, і захист довелося б покращувати за кілька годин, не відключаючи системи від Інтернету.

 

Інструкції призначені для запобігання втраті вашого найбільшого скарбу - Directory Service. Втрати можливі, але DS не буде скомпрометовано. Компанії потрапляють у новини не тому що на одному комп'ютері є ransomware, а тому що хтось контролює всю інфраструктуру. 

 

Ці інструкції прості та можуть бути застосовані до будь-якої компанії, що використовує DS (AD/AAD). Вони могли б бути кращими, якби були адаптовані до конкретного клієнта, але я хочу створити інструкції, які будуть працювати для більшості, якщо й не для всіх.

 

Ви завжди можете зробити краще, але пам'ятайте, що «в безпеці, досконалість - це ворог добра». Тому нам потрібно НАЛАШТУВАТИ речі ШВИДКО, щоб безневинні компанії залишалися захищеними. 

 

Немає часу на “Це безпечно лише на 99%” або “Мабуть, є спосіб обійти це”. Нам потрібно зробити КРАЩЕ і ЗАРАЗ! Ми можемо покращити пізніше, коли у нас будуть розгорнуті основи!

 

1. Tier0-ізоляція. Святим Ґраалем кожного зловмисника є Domain Admin обліковий запис. Щоб DA не можна було вкрасти, ми блокуємо їх використання в будь-якому місці, крім того, де вони потрібні. Застосуйте це правило на усіх комп’ютерах, крім вашого Domain Controller.

 

2. Оскільки ви можете використовувати DA тільки для керування DC, необхідно додати наступний параметр до політики, для того, щоб члени ComputerAdmins могли керувати іншими комп'ютерами.

3. Те саме для Azure. Ви можете зробити аналогічно, навіть якщо налаштування трохи відрізняються На цих фотографіях показано, як я це роблю і як блокую обмежених користувачів від доступу до порталу.

https://techcommunity.microsoft.com/t5/intune-customer-success/new-settings-available-to-configure-local-user-group-membership/ba-p/3093207

 

4. Пізніше ви можете налаштувати та розділити AD на більше рівнів, розгорнути PAWs тощо. Але наразі ізоляція Tier0 — це те, що вам НЕОБХІДНО ЗРОБИТИ ПРЯМО ЗАРАЗ!

 

5. Маючи PowerShell. PS використовується майже всіма шкідливими програмами. Він може атакувати, приймати накази та надсилати зловмиснику цінну інформацію. Тому, давайте заблокуємо його, додавши Outbound Firewall Rule до політики, як показано на малюнку:

 

6. UAC-налаштування наступні в списку. Якщо у вас є комп'ютери, на яких залогінені адміністратори, додайте цей UAC параметр до політики. Якщо у вас таких немає, ЧУДОВО, ви знижуєте ймовірність виникнення 80% атак!

 

7. Принцип найменших привілеїв. Якщо ви логінитесь до свого комп’ютера з обліковим записом адміністратора вдома чи на роботі, ПЕРЕСТАНЬТЕ ПРЯМО ЗАРАЗ! Ваш комп’ютер працюватиме краще, довше та з меншою кількістю переінсталяцій. Навіть ваш SSD прослужить довше!

 

8. Створіть собі окремий обліковий запис адміністратора та замініть ваш поточний на обмежений. Якщо у вас є пристрій для зчитування відбитків пальців, зареєструйте ваш вказівний палець для обмеженого користувача, а середній — для адміністратора.

 

Відтепер ви користуєтеся “пальцем адміністратора” лише тоді, коли вам потрібно скористатись правами адміна, або щоб помахати Путіну!

 

9. Інтегруйте концепцію Privileged Access Workstation. Не гортайте інтернет чи пошту з комп’ютера, який може зруйнувати вашу мережу, як-от під’єднання за допомогою RDP до ваших DC. Пізніше ви зробите це круто – з віртуальними машинами, але поки давайте просто працювати безпечно.

 

10. Використовуйте MFA всюди. Якщо у вас є сервери, які підтримують RDP, захистіть їх, наприклад використовуючи Cisco DUO. Зробіть те ж саме для комп’ютерів, які використовуєте для керування вашими сервісами. Якщо вам не потрібен RDP, заблокуйте його!

 

11. ПАМ’ЯТАЙТЕ “в безпеці, досконалість - це ворог добра”. Ми можемо покращити налаштування пізніше. Тому давайте зробимо базові кроки ЗАРАЗ!

 

12. Я б рекомендував усім прочитати книгу Мікко Гіппонена “Інтернет”, але наразі вона зашифрована ельфійською:  https://www.wsoy.fi/kirja/mikko-hypponen/internet/9789510464410

 

13. Це було перекладено @svitlanaExe та @FraktalCyber з мого треду фінською мовою. Скоро я опублікую його англійською. Дякую, що читаєте, бережіть себе!

Слава Україні!

 

#UkrainiansWillResist

#StandWithUkraine

#StopPutin

Future of my Blog

Hello all my followers!

I have started blogging on another platform: https://4sysops.com/archives/author/sami-laiho/

PLEASE CHECK IT OUT! :)

There are many reasons for this:

• Better reach and exposure
• Requirements of how much I need to blog:
• More deadlines for me --> More content to you
• More structure for my content
• Better platform me to do post-post commenting and answering questions
• Some income for me for blogging --> More intensive for me to keep producing content for you

I started by the following weekly articles that I hope you find usefull:

• https://4sysops.com/archives/hacking-admin-rights-on-an-autopilot-installed-windows-device-return-of-the-shift-f10/
• https://4sysops.com/archives/how-to-access-a-users-windows-desktop-without-knowing-their-password/

All content is still free to you as before but there will be a lot more of it so I hope you keep following me on the new platform. I will keep writing the newsletter for more personal content and notifications. You can subscribe to my newsletter here: http://eepurl.com/F-GOj

Thanks,

Sami

Viewing file activity on a Remote fileshare without permissions

At Ignite 2019 in Orlando I demonstrated how you can view file activity on a remote share with no permissions. This demo is made against a "Home folder share" which normally allows only very limited rights to the shares root, and then NO PERMISSIONS for anything under it. By Microsoft's opinion this is not a problem and not a security issue because I can't see the content of the files but only the file names. I don't agree at all as the file names, and all metadata what so ever, are in my opinion "data" as well. The weakness is deep inside the filesystem and you can abuse it with different languages. I will use PowerShell.

Does this mean that I can read other peoples email as long as I only read the Subject?

What you need is very simple. Start by downloading this PS Module from this article here: https://mcpmag.com/articles/2015/09/24/changes-to-a-folder-using-powershell.aspx

Then load the module, and allow it to run - depending on your environment you might need Set-Executionpolicy first.

Run Start-FileSystemWatcher -Path "\\server\yourhomeshare" -Recurse

Now you can see all file activity, even if you don't have permissions to do so ;)

Cheers from Orlando,

Sami

PS. A lot of credit on helping me to find this has to go to Mr. "T" from Finland.

TechMentor 2018 Redmond - Better price with my chairmans code!

I’ll be speaking at TechMentor, August 6-10 at Microsoft HQ in Redmond. Surrounded by your fellow IT professionals, TechMentor provides you with in-depth, immediately usable training that will keep you relevant in the workforce.

I’ll be presenting the following sessions:

• M01 - Workshop: How to Prevent all Ransomware / Malware in 2018
• W02 - Troubleshooting Sysinternals Tools 2018 Edition
• W10 - Deploying Application Whitelisting on Windows Pro or Enterprise

SPECIAL OFFER: As a speaker/chair, I can extend $500 savings on the 5-day package. Register here: http://bit.ly/RDSPK12_reg

Stored passwords found all over the place after installing Windows in company networks :(

Hi everyone!

It's been a while as I had a nice summer and a busy Techmentor conference after my holiday, and hence I haven't really had the chance to blog :/

Now many of you have seen me point out how hacking into company computers is many times a lot easier than banging on every door with Kali Linux and an armada of different exploits. I'm what I call a conceptual hacker more that a shooting hacker. I like to use deep knowledge of the OS for my benefit and try to find weaknesses based on that. And... I also luckily know a lot of smart people and networking is your core skill for all matters IT.

When I start to look into an environment one of the first things is to PXE boot a machine and hunt for MDT etc. that store passwords in all the wrong places. Now MS has gotten better on this and you know that they remove those quite well... I'll take that back... Not that well it seems.

A good friend of mine and a fellow MVP, Mikko Järvinen (@mikko_jarvinen) sent me a great summary of so many passwords stored in so many wrong places :) Most installation systems should use an account that is just a limited account with delegated privileges to join computers to a domain etc. BUT... We've all seen it, many just put in the Domain Admin accounts and passwords.

Here is Mikko's quote:

I discovered that username, domain and password of the user account used in installation of Windows from Windows Deployment Server will be left on the disk after Windows installation is finished and are readable by any user.

In Windows PE phase, Windows Setup creates a file "setupinfo" in "X:\Windows\Panther" (X: is the WinPE RAM disk). The username, password and domain of the user account which has authenticated to the Windows Setup (WDS mode) will be written in to this file in a readable format immediately after authentication. The information can be easily found by searching the following strings inside "setupinfo":

C r e d U s e r
C r e d D o m a i n
C r e d P a s s w o r d

After Windows installation has restarted from Windows PE to the Windows itself there is a new "setupinfo" file in "%systemroot%\Panther" folder, but there is also the original WinPE-phase "setupinfo" file which has been renamed to "setupinfo.bak". It is fully accessible and still contains username, domain and password information.

We know that MS cleans things like Unattend.xml to say *SENSITIVE*DATA*DELETED* so why don't they just do this all the way and clear these out as well... :(

There's a fix for this: just add a deletion of that file in the setupcomplete.cmd for example and for previously installed machines you could just add a GPP like Mkko shows here:

This was for WDS but many use MDT instead and just the WDS engine to PXE boot. Mikko also asked to remind about something that I've used as well. The fact that also MDT saves the credentials in the C:\MININT\SMSOSD\OSDLOGS\VARIABLES.DAT. although not in clear text but Base64-encoded. Well that's sadly easy to decode so the if you lose that file the password is then bye-bye-captured-by-enemy.

These were all reported to Microsoft but as they require physical access Microsoft doesn't really bother to fix them as these anyway break the immutable laws of security. The truth in the end of the day still is that in many networks these allow an easy to achieve privilege elevation attack so I would strongly encourage you to make sure you are not affected and that that the user accounts used in installation don't have more than bare minimum privileges.

Cheers,

Sami