Otkriveno ove godine omogućava svakom korisniku domene da dobije administratorska prava domene i kompromituje Active Directory (AD) i druge povezane hostove. Danas ćemo vam reći kako ovaj napad funkcionira i kako ga otkriti.
Evo kako ovaj napad funkcionira:
- Napadač preuzima račun bilo kojeg korisnika domene s aktivnim poštanskim sandučićem kako bi se pretplatio na funkciju push obavještenja iz Exchangea
- Napadač koristi NTLM relej da prevari Exchange server: kao rezultat toga, Exchange server se povezuje sa računarom kompromitovanog korisnika koristeći NTLM preko HTTP metode, koju napadač zatim koristi za autentifikaciju na kontroleru domena putem LDAP-a sa akreditivima Exchange naloga
- Napadač na kraju koristi ove vjerodajnice Exchange računa da eskalira svoje privilegije. Ovaj posljednji korak također može izvršiti neprijateljski nastrojen administrator koji već ima legitiman pristup da izvrši potrebnu promjenu dozvole. Kreiranjem pravila za otkrivanje ove aktivnosti bit ćete zaštićeni od ovog i sličnih napada.
Nakon toga, napadač bi mogao, na primjer, pokrenuti DCSync da dobije heširane lozinke svih korisnika u domeni. To će mu omogućiti da implementira različite vrste napada - od napada sa zlatnim tiketom do heš prijenosa.
Varonis istraživački tim je detaljno proučio ovaj vektor napada i pripremio vodič za naše klijente da ga otkriju i istovremeno provjere da li su već kompromitovani.
Detekcija eskalacije privilegija domene
В Kreirajte prilagođeno pravilo za praćenje promjena određenih dozvola na objektu. Pokrenut će se kada se dodaju prava i dozvole objektu od interesa u domeni:
- Odredite naziv pravila
- Postavite kategoriju na "Elevation of Privilege"
- Postavite vrstu resursa na "Sve vrste resursa"
- File Server = DirectoryServices
- Navedite domenu koja vas zanima, na primjer, imenom
- Dodajte filter za dodavanje dozvola za AD objekt
- I ne zaboravite da opciju "Traži u podređenim objektima" ostavite neodabranu.
A sada izvještaj: otkrivanje promjena u pravima na objektu domene
Promjene dozvola na AD objektu su prilično rijetke, tako da sve što je pokrenulo ovo upozorenje treba i treba biti istraženo. Također bi bilo dobro testirati izgled i sadržaj izvještaja prije nego što se samo pravilo pokrene u bitku.
Ovaj izvještaj će također pokazati da li ste već bili kompromitovani ovim napadom:
Kada se pravilo aktivira, možete istražiti sve druge događaje eskalacije privilegija koristeći DatAlert web sučelje:
Jednom kada konfigurirate ovo pravilo, možete pratiti i štititi od ovih i sličnih tipova sigurnosnih propusta, istraživati događaje s objektima usluga AD direktorija i utvrditi da li ste podložni ovoj kritičnoj ranjivosti.
izvor: www.habr.com