Уязвимост на обмена: Как да откриете повишаване на привилегията на администратор на домейн

Открит тази година уязвимост в Exchange позволява на всеки потребител на домейн да получи администраторски права на домейн и да компрометира Active Directory (AD) и други свързани хостове. Днес ще ви разкажем как работи тази атака и как да я откриете.

Ето как работи тази атака:

1. Нападател поема акаунта на всеки потребител на домейн с активна пощенска кутия, за да се абонира за функцията за насочено уведомяване от Exchange
2. Нападателят използва NTLM реле, за да излъже Exchange сървъра: в резултат на това Exchange сървърът се свързва с компютъра на компрометирания потребител, използвайки метода NTLM през HTTP, който след това атакуващият използва за удостоверяване на домейн контролера чрез LDAP с идентификационни данни за акаунт в Exchange
3. Нападателят в крайна сметка използва тези идентификационни данни за акаунт в Exchange, за да ескалира своите привилегии. Тази последна стъпка може да бъде извършена и от враждебен администратор, който вече има законен достъп, за да направи необходимата промяна на разрешението. Като създадете правило за откриване на тази дейност, ще бъдете защитени от тази и подобни атаки.

Впоследствие нападателят може например да стартира DCSync, за да получи хешираните пароли на всички потребители в домейна. Това ще му позволи да реализира различни видове атаки - от атаки със златни билети до предаване на хеш.

Изследователският екип на Varonis проучи подробно този вектор на атака и подготви ръководство за нашите клиенти, за да го открият и в същото време да проверят дали вече са били компрометирани.

Откриване на ескалиране на привилегии на домейн

В DataAlert Създайте персонализирано правило за проследяване на промените в конкретни разрешения за обект. Ще се задейства при добавяне на права и разрешения към интересен обект в домейна:

1. Посочете името на правилото
2. Задайте категорията на „Повишаване на привилегия“
3. Задайте типа ресурс на „Всички типове ресурси“
4. Файлов сървър = DirectoryServices
5. Посочете домейна, който ви интересува, например по име
6. Добавете филтър, за да добавите разрешения към AD обект
7. И не забравяйте да оставите неизбрана опцията „Търсене в дъщерни обекти“.

И сега докладът: откриване на промени в правата върху обект на домейн

Промените в разрешенията на AD обект са доста редки, така че всичко, което е задействало това предупреждение, трябва и трябва да бъде проучено. Също така би било добра идея да тествате външния вид и съдържанието на доклада, преди да стартирате самото правило в битка.

Този отчет също ще покаже дали вече сте били компрометирани от тази атака:

След като правилото е активирано, можете да проучите всички други събития за ескалация на привилегии, като използвате уеб интерфейса на DatAlert:

След като конфигурирате това правило, можете да наблюдавате и да се предпазвате от тези и подобни типове уязвимости в сигурността, да разследвате събития с обекти на AD директорийни услуги и да определяте дали сте податливи на тази критична уязвимост.

Източник: www.habr.com