Gegenmaßnahme zum Angriff „DNS-Wildcard“

In meinem letzten Video habe ich gezeigt, wie ich als Angreifer eine Session im Kontext eines Standardbenutzers nutzen kann, um im internen Active Directory DNS eine DNS-Wildcard zu erstellen. Wer das Video noch nicht gesehen hat, das gibt es hier.

Im nächsten Video zeige ich, wie eine Gegenmaßnahme für diesen Angriff aussehen könnte:

Das ist nicht kompliziert, oder? 🙂

Für wenige DNS-Zonen ist der Aufwand für die Korrektur der Berechtigungen recht gering. Wenn ihr aber viele DNS-Zonen verwendet, dann könnte euch mein PowerShell-Script helfen:

Der Code muss als AD-Administrator ausgeführt werden. Er sucht nach AD-integrierten Zonen und für jede Zone wird der ACL-Eintrag für die „Authenticated Users“ entfernt und durch einen Eintrag für die „Domain Computers“ ersetzt. So einfach kann es sein:

Gegenmaßnahme zum Angriff „DNS-Wildcard“

Das Script könnt ihr auch hier als ZIP-Archiv herunterladen. Falls ihr die Zonen nicht im AD integriert habt, dann wird das Script nicht helfen!

Weitere Videos aus meiner Serie „Anatomie eines Hacks“ findet ihr in der Übersicht.

Stay tuned!

Kommentar hinterlassen