Uitruilkwesbaarheid: Hoe om verhoging van voorregte vir domeinadministrateur op te spoor

Hierdie jaar ontdek kwesbaarheid in Exchange laat enige domeingebruiker toe om domeinadministrateurregte te verkry en Active Directory (AD) en ander gekoppelde gashere in gevaar te stel. Vandag sal ons jou vertel hoe hierdie aanval werk en hoe om dit op te spoor.

Hier is hoe hierdie aanval werk:

1. 'n Aanvaller neem die rekening van enige domeingebruiker met 'n aktiewe posbus oor om in te teken op die stootkennisgewingfunksie van Exchange
2. Die aanvaller gebruik NTLM-aflos om die Exchange-bediener te mislei: gevolglik koppel die Exchange-bediener aan die gekompromitteerde gebruiker se rekenaar deur die NTLM oor HTTP-metode te gebruik, wat die aanvaller dan gebruik om aan die domeinbeheerder te verifieer via LDAP met Exchange-rekeningbewyse
3. Die aanvaller gebruik uiteindelik hierdie Exchange-rekeningbewyse om hul voorregte te eskaleer. Hierdie laaste stap kan ook uitgevoer word deur 'n vyandige administrateur wat reeds wettige toegang het om die nodige toestemmingsverandering te maak. Deur 'n reël te skep om hierdie aktiwiteit op te spoor, sal jy beskerm word teen hierdie en soortgelyke aanvalle.

Vervolgens kan 'n aanvaller, byvoorbeeld, DCSync laat loop om die hashed-wagwoorde van alle gebruikers in die domein te verkry. Dit sal hom in staat stel om verskeie soorte aanvalle te implementeer – van goue kaartjie-aanvalle tot hash-oordrag.

Die Varonis-navorsingspan het hierdie aanvalsvektor in detail bestudeer en 'n gids vir ons kliënte voorberei om dit op te spoor en terselfdertyd te kyk of hulle reeds gekompromitteer is.

Opsporing van domeinvoorregte-eskalasie

В DataAlert Skep 'n pasgemaakte reël om veranderinge aan spesifieke toestemmings op 'n voorwerp na te spoor. Dit sal geaktiveer word wanneer regte en toestemmings by 'n voorwerp van belang in die domein gevoeg word:

1. Spesifiseer die reëlnaam
2. Stel die kategorie op "Elevation of Privilege"
3. Stel die hulpbrontipe op "Alle hulpbrontipes"
4. Lêerbediener = DirectoryServices
5. Spesifiseer die domein waarin jy belangstel, byvoorbeeld by naam
6. Voeg 'n filter by om toestemmings op 'n AD-voorwerp by te voeg
7. En moenie vergeet om die opsie "Soek in kindervoorwerpe" ongekies te laat nie.

En nou die verslag: opsporing van veranderinge in regte op 'n domeinvoorwerp

Veranderinge aan AD-objektoestemmings is redelik skaars, so enigiets wat hierdie waarskuwing veroorsaak het, moet en moet ondersoek word. Dit sal ook 'n goeie idee wees om die voorkoms en inhoud van die verslag te toets voordat die reël self in die stryd geloods word.

Hierdie verslag sal ook wys of jy reeds deur hierdie aanval gekompromitteer is:

Sodra die reël geaktiveer is, kan jy alle ander voorregte-eskaleringsgebeure ondersoek deur die DatAlert-webkoppelvlak te gebruik:

Sodra jy hierdie reël opgestel het, kan jy monitor en beskerm teen hierdie en soortgelyke tipe sekuriteitskwesbaarhede, gebeure met AD-gidsdienste-voorwerpe ondersoek en bepaal of jy vatbaar is vir hierdie kritieke kwesbaarheid.

Bron: will.com