ثغرة أمنية في Exchange: كيفية اكتشاف رفع الامتيازات إلى مسؤول المجال

اكتشف هذا العام الضعف في الصرف يسمح لأي مستخدم مجال بالحصول على حقوق مسؤول المجال وتسوية Active Directory (AD) والمضيفين الآخرين المتصلين. سنخبرك اليوم بكيفية عمل هذا الهجوم وكيفية اكتشافه.

وإليك كيفية عمل هذا الهجوم:

1. يتولى المهاجم السيطرة على حساب أي مستخدم مجال لديه صندوق بريد نشط من أجل الاشتراك في ميزة الإشعارات الفورية من Exchange
2. يستخدم المهاجم ترحيل NTLM لخداع خادم Exchange: ونتيجة لذلك، يتصل خادم Exchange بكمبيوتر المستخدم المخترق باستخدام طريقة NTLM عبر HTTP، والتي يستخدمها المهاجم بعد ذلك للمصادقة على وحدة تحكم المجال عبر LDAP باستخدام بيانات اعتماد حساب Exchange.
3. ينتهي الأمر بالمهاجم باستخدام بيانات اعتماد حساب Exchange هذه لتصعيد امتيازاته. يمكن أيضًا تنفيذ هذه الخطوة الأخيرة بواسطة مسؤول معادٍ لديه بالفعل حق الوصول الشرعي لإجراء تغيير الإذن اللازم. ومن خلال إنشاء قاعدة لاكتشاف هذا النشاط، ستتم حمايتك من هذه الهجمات والهجمات المشابهة.

وبالتالي، يمكن للمهاجم، على سبيل المثال، تشغيل DCSync للحصول على كلمات المرور المجزأة لجميع المستخدمين في المجال. سيسمح له ذلك بتنفيذ أنواع مختلفة من الهجمات - بدءًا من هجمات التذاكر الذهبية وحتى نقل التجزئة.

قام فريق بحث Varonis بدراسة ناقل الهجوم هذا بالتفصيل وأعد دليلًا لعملائنا لاكتشافه وفي الوقت نفسه التحقق مما إذا كانوا قد تعرضوا للاختراق بالفعل.

كشف تصعيد امتياز المجال

В DataAlert قم بإنشاء قاعدة مخصصة لتتبع التغييرات على أذونات محددة على كائن ما. سيتم تشغيله عند إضافة الحقوق والأذونات إلى كائن محل الاهتمام في المجال:

1. حدد اسم القاعدة
2. اضبط الفئة على "رفع الامتياز"
3. اضبط نوع المورد على "جميع أنواع الموارد"
4. خادم الملفات = DirectoryServices
5. حدد المجال الذي تهتم به، على سبيل المثال، بالاسم
6. أضف عامل تصفية لإضافة الأذونات على كائن AD
7. ولا تنس ترك خيار "البحث في الكائنات الفرعية" غير محدد.

والآن التقرير: الكشف عن التغييرات في حقوق كائن المجال

تعد التغييرات في الأذونات على كائن AD نادرة جدًا، لذا يجب التحقيق في أي شيء أدى إلى ظهور هذا التحذير. سيكون من الجيد أيضًا اختبار مظهر التقرير ومحتواه قبل إطلاق القاعدة نفسها في المعركة.

سيوضح هذا التقرير أيضًا ما إذا كنت قد تعرضت بالفعل للاختراق بسبب هذا الهجوم:

بمجرد تنشيط القاعدة، يمكنك التحقيق في جميع أحداث تصعيد الامتيازات الأخرى باستخدام واجهة ويب DatAlert:

بمجرد تكوين هذه القاعدة، يمكنك مراقبة هذه الأنواع والأنواع المشابهة من الثغرات الأمنية والحماية منها، والتحقيق في الأحداث باستخدام كائنات خدمات دليل AD، وتحديد ما إذا كنت عرضة لهذه الثغرة الأمنية الخطيرة.

المصدر: www.habr.com