Exchange-sårbarhed: Sådan registreres udvidelse af rettigheder til domæneadministrator

Opdaget i år sårbarhed i Exchange giver enhver domænebruger mulighed for at opnå domæneadministratorrettigheder og kompromittere Active Directory (AD) og andre tilsluttede værter. I dag vil vi fortælle dig, hvordan dette angreb fungerer, og hvordan du opdager det.

Sådan fungerer dette angreb:

1. En angriber overtager kontoen for enhver domænebruger med en aktiv postkasse for at abonnere på push notifikationsfunktionen fra Exchange
2. Angriberen bruger NTLM-relæ til at narre Exchange-serveren: som et resultat, forbinder Exchange-serveren til den kompromitterede brugers computer ved hjælp af NTLM over HTTP-metoden, som angriberen derefter bruger til at godkende til domænecontrolleren via LDAP med Exchange-kontolegitimationsoplysninger
3. Angriberen ender med at bruge disse Exchange-kontolegitimationsoplysninger til at eskalere deres privilegier. Dette sidste trin kan også udføres af en fjendtlig administrator, som allerede har legitim adgang til at foretage den nødvendige tilladelsesændring. Ved at oprette en regel til at registrere denne aktivitet, vil du være beskyttet mod dette og lignende angreb.

Efterfølgende kunne en angriber for eksempel køre DCSync for at få hashed kodeord for alle brugere på domænet. Dette vil give ham mulighed for at implementere forskellige typer angreb - fra golden ticket-angreb til hash-transmission.

Varonis forskningsteam har studeret denne angrebsvektor i detaljer og udarbejdet en guide til vores kunder, så de kan opdage den og samtidig kontrollere, om de allerede er blevet kompromitteret.

Registrering af domæneprivilegier

В DataAlert Opret en tilpasset regel for at spore ændringer af specifikke tilladelser på et objekt. Det vil blive udløst, når du tilføjer rettigheder og tilladelser til et objekt af interesse i domænet:

1. Angiv regelnavnet
2. Indstil kategorien til "Elevation of Privilege"
3. Indstil ressourcetypen til "Alle ressourcetyper"
4. Filserver = DirectoryServices
5. Angiv det domæne, du er interesseret i, for eksempel ved navn
6. Tilføj et filter for at tilføje tilladelser til et AD-objekt
7. Og glem ikke at lade "Søg i underordnede objekter" være umarkeret.

Og nu rapporten: registrering af ændringer i rettigheder til et domæneobjekt

Ændringer af tilladelser på et AD-objekt er ret sjældne, så alt, der udløste denne advarsel, bør og bør undersøges. Det vil også være en god ide at teste rapportens udseende og indhold, inden man sætter selve reglen i kamp.

Denne rapport vil også vise, om du allerede er blevet kompromitteret af dette angreb:

Når reglen er aktiveret, kan du undersøge alle andre privilegieeskaleringshændelser ved hjælp af DatAlert-webgrænsefladen:

Når du har konfigureret denne regel, kan du overvåge og beskytte mod disse og lignende typer sikkerhedssårbarheder, undersøge hændelser med AD directory services-objekter og afgøre, om du er modtagelig for denne kritiske sårbarhed.

Kilde: www.habr.com