Vulnerabilitat d'intercanvi: com detectar l'elevació de privilegis per a l'administrador del domini

Descobert aquest any vulnerabilitat a Exchange permet a qualsevol usuari de domini obtenir drets d'administrador de domini i comprometre Active Directory (AD) i altres amfitrions connectats. Avui us explicarem com funciona aquest atac i com detectar-lo.

Així és com funciona aquest atac:

1. Un atacant es fa càrrec del compte de qualsevol usuari de domini amb una bústia de correu activa per subscriure's a la funció de notificació push d'Exchange
2. L'atacant utilitza el relé NTLM per enganyar el servidor Exchange: com a resultat, el servidor Exchange es connecta a l'ordinador de l'usuari compromès mitjançant el mètode NTLM sobre HTTP, que després l'atacant utilitza per autenticar-se al controlador de domini mitjançant LDAP amb les credencials del compte d'Exchange.
3. L'atacant acaba utilitzant aquestes credencials del compte d'Exchange per augmentar els seus privilegis. Aquest darrer pas també el pot fer un administrador hostil que ja té accés legítim per fer el canvi de permís necessari. En crear una regla per detectar aquesta activitat, estaràs protegit d'aquest i d'atacs similars.

Posteriorment, un atacant podria, per exemple, executar DCSync per obtenir les contrasenyes hash de tots els usuaris del domini. Això li permetrà implementar diversos tipus d'atacs, des d'atacs de bitllet daurat fins a la transmissió de hash.

L'equip d'investigació de Varonis ha estudiat amb detall aquest vector d'atac i ha preparat una guia perquè els nostres clients el detectin i, alhora, comprovin si ja s'han vist compromesos.

Detecció d'escalada de privilegis de domini

В Alerta de dades Creeu una regla personalitzada per fer un seguiment dels canvis a permisos específics d'un objecte. S'activarà en afegir drets i permisos a un objecte d'interès del domini:

1. Especifiqueu el nom de la regla
2. Estableix la categoria a "Elevació de privilegis"
3. Estableix el tipus de recurs a "Tots els tipus de recurs"
4. Servidor de fitxers = DirectoryServices
5. Especifiqueu el domini que us interessa, per exemple, pel nom
6. Afegiu un filtre per afegir permisos a un objecte AD
7. I no us oblideu de deixar sense seleccionar l'opció "Cerca en objectes secundaris".

I ara l'informe: detecció de canvis en els drets d'un objecte de domini

Els canvis als permisos dels objectes AD són força rars, de manera que qualsevol cosa que hagi activat aquest avís s'hauria i s'hauria d'investigar. També seria una bona idea provar l'aspecte i el contingut de l'informe abans de llançar la pròpia regla a la batalla.

Aquest informe també mostrarà si aquest atac ja us ha compromès:

Un cop activada la regla, podeu investigar tots els altres esdeveniments d'escalada de privilegis mitjançant la interfície web de DatAlert:

Un cop hàgiu configurat aquesta regla, podeu supervisar i protegir contra aquests i tipus similars de vulnerabilitats de seguretat, investigar esdeveniments amb objectes de serveis de directori AD i determinar si sou susceptibles a aquesta vulnerabilitat crítica.

Font: www.habr.com