Знойдзена ў гэтым годзе дазваляе любому карыстачу дамена атрымаць правы адміністратара дамена і скампраметаваць Active Directory (AD) і іншыя падлучаныя хасты. Сёння мы раскажам, як працуе гэты напад і як яго выявіць.
Вось як працуе гэты напад:
- Зламыснік завалодвае уліковым запісам любога даменнага карыстальніка з актыўнай паштовай скрыняй, каб падпісацца на функцыю push-паведамленняў ад Exchange
- Зламыснік выкарыстоўвае NTLM relay для падману сервера Exchange: у выніку сервер Exchange падключаецца на кампутар скампраметаванага карыстальніка з дапамогай метаду NTLM over HTTP, які зламыснік затым выкарыстоўвае для праходжання працэдуры праверкі сапраўднасці на кантролеры дамена па LDAP з дадзенымі ўліковага запісу Exchange
- У выніку зламыснік выкарыстоўвае гэтыя паўнамоцтвы ўліковага запісу Exchange для павышэння сваіх прывілеяў. Гэты апошні крок можа быць таксама выкананы настроеным варожа адміністратарам, які ўжо мае легітымны доступ, каб зрабіць неабходную змену правоў. Стварыўшы правіла для выяўлення дадзенай актыўнасці, вы будзеце абаронены ад гэтай і падобных нападаў.
Пасля зламыснік можа, напрыклад, запусціць DCSync, каб атрымаць хэшаваныя паролі ўсіх карыстальнікаў дамена. Гэта дазволіць яму рэалізаваць розныя тыпы нападаў - ад нападаў на golden ticket да перадачы хэша.
Даследчая каманда Varonis падрабязна вывучыла гэты вектар нападу і падрыхтавала кіраўніцтва для нашых кліентаў, каб яго выявіць і заадно праверыць, ці былі яны ўжо скампраметаваныя.
Выяўленне павышэння прывілеяў у дамене
В стварыце карыстацкае правіла для адсочвання змен вызначаных дазволаў на аб'ект. Яно будзе спрацоўваць пры даданні правоў і дазволаў на цікавы аб'ект у дамене:
- Пазначце імя правіла
- Усталюйце катэгорыю як «Павышэнне прывілеяў»
- Задайце значэнне для тыпу рэсурса "Усе тыпы рэсурсаў"
- Файлавы сервер = DirectoryServices
- Задайце які цікавіць вас дамен, напрыклад, па імі
- Дадайце фільтр на даданне дазволаў на аб'екце AD
- І не забудзьцеся пакінуць нявыдзеленай опцыю «Пошук у даччыных аб'ектах»
А зараз справаздача: выяўленне змены правоў на аб'ект дамена
Змены дазволаў на аб'ект AD - даволі рэдкая з'ява, таму ўсё, што выклікала гэтае папярэджанне, трэба і павінна быць расследавана. Таксама нядрэнна б пратэставаць выгляд і змест справаздачы да запуску ў бой самога правіла.
Гэтая справаздача таксама пакажа, ці былі вы ўжо скампраметаваныя гэтым нападам:
Пасля актывацыі правіла можна расследаваць усе астатнія падзеі павышэння прывілеяў, выкарыстоўваючы вэб-інтэрфейс DatAlert:
Пасля налады дадзенага правіла вы зможаце адсочваць і абараняцца ад гэтых і падобных тыпаў уразлівасцяў сістэмы бяспекі, расследаваць падзеі з аб'ектамі службаў каталогаў AD і праверыць, ці схільныя вы гэтай крытычнай уразлівасці.
Крыніца: habr.com