Wedi'i ddarganfod eleni yn caniatáu i unrhyw ddefnyddiwr parth ennill hawliau gweinyddwr parth a chyfaddawdu Active Directory (AD) a gwesteiwyr cysylltiedig eraill. Heddiw, byddwn yn dweud wrthych sut mae'r ymosodiad hwn yn gweithio a sut i'w ganfod.
Dyma sut mae'r ymosodiad hwn yn gweithio:
- Mae ymosodwr yn cymryd drosodd cyfrif unrhyw ddefnyddiwr parth sydd â blwch post gweithredol er mwyn tanysgrifio i'r nodwedd hysbysiad gwthio o Exchange
- Mae'r ymosodwr yn defnyddio ras gyfnewid NTLM i dwyllo'r gweinydd Exchange: o ganlyniad, mae'r gweinydd Exchange yn cysylltu â chyfrifiadur y defnyddiwr dan fygythiad gan ddefnyddio'r dull NTLM dros HTTP, y mae'r ymosodwr wedyn yn ei ddefnyddio i ddilysu i'r rheolwr parth trwy LDAP gyda manylion cyfrif Exchange
- Mae'r ymosodwr yn y diwedd yn defnyddio'r tystlythyrau cyfrif Exchange hyn i gynyddu eu breintiau. Gall y cam olaf hwn hefyd gael ei berfformio gan weinyddwr gelyniaethus sydd eisoes â mynediad cyfreithlon i wneud y newid caniatâd angenrheidiol. Trwy greu rheol i ganfod y gweithgaredd hwn, byddwch yn cael eich diogelu rhag ymosodiadau hyn ac ymosodiadau tebyg.
Yn dilyn hynny, gallai ymosodwr, er enghraifft, redeg DCSync i gael cyfrineiriau stwnsh pob defnyddiwr yn y parth. Bydd hyn yn caniatáu iddo weithredu gwahanol fathau o ymosodiadau - o ymosodiadau tocyn aur i drosglwyddo hash.
Mae tîm ymchwil Varonis wedi astudio'r fector ymosodiad hwn yn fanwl ac wedi paratoi canllaw i'n cwsmeriaid ei ganfod ac ar yr un pryd wirio a ydynt eisoes wedi'u peryglu.
Canfod Dwysâd Braint Parth
В Creu rheol arferiad i olrhain newidiadau i ganiatadau penodol ar wrthrych. Bydd yn cael ei sbarduno wrth ychwanegu hawliau a chaniatâd at wrthrych o ddiddordeb yn y parth:
- Nodwch enw'r rheol
- Gosodwch y categori i "Uchafiad Braint"
- Gosodwch y math o adnodd i "Pob math o adnodd"
- Gweinydd Ffeil = DirectoryServices
- Nodwch y parth y mae gennych ddiddordeb ynddo, er enghraifft, yn ôl enw
- Ychwanegu hidlydd i ychwanegu caniatadau ar wrthrych AD
- A pheidiwch ag anghofio gadael yr opsiwn "Chwilio mewn gwrthrychau plentyn" heb ei ddewis.
Ac yn awr yr adroddiad: canfod newidiadau mewn hawliau i wrthrych parth
Mae newidiadau i ganiatadau ar wrthrych AD yn eithaf prin, felly dylid a dylid ymchwilio i unrhyw beth a ysgogodd y rhybudd hwn. Byddai hefyd yn syniad da profi ymddangosiad a chynnwys yr adroddiad cyn lansio'r rheol ei hun i frwydr.
Bydd yr adroddiad hwn hefyd yn dangos a ydych eisoes wedi cael eich peryglu gan yr ymosodiad hwn:
Unwaith y bydd y rheol wedi'i rhoi ar waith, gallwch ymchwilio i bob digwyddiad dwysáu braint arall gan ddefnyddio rhyngwyneb gwe DatAlert:
Ar ôl i chi ffurfweddu'r rheol hon, gallwch fonitro a diogelu rhag y rhain a mathau tebyg o wendidau diogelwch, ymchwilio i ddigwyddiadau gyda gwrthrychau gwasanaethau cyfeiriadur AD, a phenderfynu a ydych chi'n agored i'r bregusrwydd critigol hwn.
Ffynhonnell: hab.com