Exchange-Sicherheitslücke: So erkennen Sie die Rechteerweiterung für den Domänenadministrator

Dieses Jahr entdeckt Sicherheitslücke in Exchange ermöglicht es jedem Domänenbenutzer, Domänenadministratorrechte zu erlangen und Active Directory (AD) und andere verbundene Hosts zu gefährden. Heute erklären wir Ihnen, wie dieser Angriff funktioniert und wie Sie ihn erkennen.

So funktioniert dieser Angriff:

1. Ein Angreifer übernimmt das Konto eines beliebigen Domänenbenutzers mit einem aktiven Postfach, um die Push-Benachrichtigungsfunktion von Exchange zu abonnieren
2. Der Angreifer nutzt NTLM-Relay, um den Exchange-Server auszutricksen: Daraufhin stellt der Exchange-Server mithilfe der NTLM-über-HTTP-Methode eine Verbindung zum Computer des gefährdeten Benutzers her, die der Angreifer dann verwendet, um sich über LDAP mit Exchange-Kontoanmeldeinformationen beim Domänencontroller zu authentifizieren
3. Am Ende nutzt der Angreifer diese Exchange-Kontoanmeldeinformationen, um seine Berechtigungen zu erweitern. Dieser letzte Schritt kann auch von einem feindlichen Administrator durchgeführt werden, der bereits über legitimen Zugriff verfügt, um die erforderliche Berechtigungsänderung vorzunehmen. Durch die Erstellung einer Regel zur Erkennung dieser Aktivität werden Sie vor diesem und ähnlichen Angriffen geschützt.

Anschließend könnte ein Angreifer beispielsweise DCSync ausführen, um an die gehashten Passwörter aller Benutzer in der Domäne zu gelangen. Dadurch kann er verschiedene Arten von Angriffen umsetzen – von Golden-Ticket-Angriffen bis hin zur Hash-Übertragung.

Das Varonis-Forschungsteam hat diesen Angriffsvektor eingehend untersucht und einen Leitfaden für unsere Kunden erstellt, um ihn zu erkennen und gleichzeitig zu überprüfen, ob sie bereits kompromittiert wurden.

Erkennung der Eskalation von Domänenprivilegien

В DataAlert Erstellen Sie eine benutzerdefinierte Regel, um Änderungen an bestimmten Berechtigungen für ein Objekt zu verfolgen. Es wird ausgelöst, wenn einem Objekt von Interesse in der Domäne Rechte und Berechtigungen hinzugefügt werden:

1. Geben Sie den Regelnamen an
2. Stellen Sie die Kategorie auf „Berechtigungserweiterung“ ein.
3. Legen Sie den Ressourcentyp auf „Alle Ressourcentypen“ fest.
4. Dateiserver = DirectoryServices
5. Geben Sie die Domain, an der Sie interessiert sind, beispielsweise anhand des Namens an
6. Fügen Sie einen Filter hinzu, um Berechtigungen für ein AD-Objekt hinzuzufügen
7. Und vergessen Sie nicht, die Option „In untergeordneten Objekten suchen“ deaktiviert zu lassen.

Und nun der Bericht: Erkennung von Rechteänderungen an einem Domänenobjekt

Änderungen an Berechtigungen für ein AD-Objekt sind recht selten, daher sollte alles, was diese Warnung ausgelöst hat, untersucht werden. Es wäre auch eine gute Idee, das Erscheinungsbild und den Inhalt des Berichts zu testen, bevor die Regel selbst in die Tat umgesetzt wird.

In diesem Bericht wird auch angezeigt, ob Sie bereits durch diesen Angriff kompromittiert wurden:

Sobald die Regel aktiviert ist, können Sie alle anderen Privilegieneskalationsereignisse mithilfe der DatAlert-Weboberfläche untersuchen:

Sobald Sie diese Regel konfiguriert haben, können Sie diese und ähnliche Arten von Sicherheitslücken überwachen und sich davor schützen, Ereignisse mit AD-Verzeichnisdienstobjekten untersuchen und feststellen, ob Sie für diese kritische Sicherheitslücke anfällig sind.

Source: habr.com