Vulnerabilità di scambiu: Cumu detectà l'elevazione di u privilegiu à l'amministratore di u duminiu

Scopre questu annu vulnerabilità in Exchange permette à qualsiasi utilizatore di duminiu acquistà diritti di amministratore di duminiu è cumprumette Active Directory (AD) è altri ospiti cunnessi. Oghje vi diceremu cumu funziona stu attaccu è cumu per detectà.

Eccu cumu funziona stu attaccu:

1. Un attaccu piglia u contu di qualsiasi utilizatore di duminiu cù una cassetta postale attiva per abbunà à a funzione di notificazione push da Exchange
2. L'attaccante usa u relé NTLM per ingannà u servitore di u Scambio: in u risultatu, u servitore di Scambio si cunnetta à l'urdinatore di l'utilizatore cumprumissu utilizendu u metudu NTLM over HTTP, chì l'attaccante poi aduprate per autentificà à u controller di duminiu via LDAP cù credenziali di u contu Exchange.
3. L'attaccante finisce aduprà sti credenziali di u cuntu di Scambio per scalate i so privilegi. Questu ultimu passu pò ancu esse realizatu da un amministratore ostili chì hà digià accessu legittimu per fà u cambiamentu di permessu necessariu. Creendu una regula per detectà sta attività, sarete prutetti da questu è attacchi simili.

In seguitu, un attaccante puderia, per esempiu, eseguisce DCSync per ottene e password hashed di tutti l'utilizatori in u duminiu. Questu li permetterà di implementà diversi tipi di attacchi - da attacchi di biglietti d'oru à a trasmissione di hash.

U gruppu di ricerca di Varonis hà studiatu stu vettore d'attaccu in dettagliu è hà preparatu una guida per i nostri clienti per detectà è à u stessu tempu verificate s'ellu sò digià cumprumessi.

Rilevazione di l'escalamentu di u privilegiu di u duminiu

В DataAlert Crea una regula persunalizata per seguità i cambiamenti à permessi specifichi nantu à un oggettu. Serà attivatu quandu aghjunghje diritti è permessi à un oggettu d'interessu in u duminiu:

1. Specificate u nome di a regula
2. Pone a categuria à "Elevazione di privilegiu"
3. Pone u tipu di risorsa à "Tutti i tipi di risorse"
4. File Server = DirectoryServices
5. Specificate u duminiu chì site interessatu, per esempiu, per nome
6. Aghjunghjite un filtru per aghjunghje permessi nantu à un oggettu AD
7. È ùn vi scurdate di lascià l'opzione "Ricerca in l'ogetti di u zitellu" senza selezzione.

È avà u rapportu: deteczione di cambiamenti in i diritti à un oggettu di duminiu

I cambiamenti à i permessi nantu à un oggettu AD sò abbastanza rari, cusì tuttu ciò chì hà attivatu stu avvisu deve è deve esse investigatu. Saria ancu una bona idea di pruvà l'apparenza è u cuntenutu di u rapportu prima di lancià a regula stessa in battaglia.

Stu rapportu mostrarà ancu s'ellu avete digià statu cumprumissu da questu attaccu:

Una volta chì a regula hè attivata, pudete investigà tutti l'altri avvenimenti di escalazione di privilegi cù l'interfaccia web DatAlert:

Una volta chì cunfigurà sta regula, pudete monitorà è prutegge contr'à questi è simili tippi di vulnerabilità di sicurezza, investigà avvenimenti cù l'oggetti di servizii di repertoriu AD, è determinà se site suscettibile à sta vulnerabilità critica.

Source: www.habr.com