In diesem Jahr entdeckte die es jedem Benutzer der Domäne ermöglicht, Administratorrechte zu erhalten und Active Directory (AD) sowie andere verbundene Hosts zu kompromittieren. Heute erklären wir, wie dieser Angriff funktioniert und wie man ihn erkennen kann.

So funktioniert dieser Angriff:
- Der Angreifer übernimmt das Konto eines beliebigen Domänenbenutzers mit aktivem Postfach, um sich für die Push-Benachrichtigungsfunktion von Exchange anzumelden.
- Der Angreifer nutzt NTLM-Relay, um den Exchange-Server zu täuschen: Infolgedessen verbindet sich der Exchange-Server mit dem Computer des kompromittierten Benutzers über die Methode NTLM über HTTP, die der Angreifer dann verwendet, um den Authentifizierungsprozess am Domänencontroller über LDAP mit den Exchange-Benutzerdaten zu durchlaufen.
- Am Ende nutzt der Angreifer diese Exchange-Konto-Berechtigungen, um seine Privilegien zu erhöhen. Dieser letzte Schritt kann auch von einem feindlich konfigurierten Administrator durchgeführt werden, der bereits legitimen Zugang hat, um die erforderliche Berechtigungsänderung vorzunehmen. Mit der Erstellung einer Regel zur Erkennung dieser Aktivität sind Sie vor solchen und ähnlichen Angriffen geschützt.
Danach kann der Angreifer beispielsweise DCSync ausführen, um die gehashten Passwörter aller Domänenbenutzer zu erhalten. Dies ermöglicht ihm die Durchführung verschiedener Angriffsarten – von Golden Ticket-Angriffen bis hin zur Übertragung von Hashes.
Das Forschungsteam von Varonis hat diesen Angriffvektor gründlich untersucht und ein Handbuch für unsere Kunden erstellt, um deren Erkennung zu erleichtern und zu prüfen, ob sie bereits kompromittiert wurden.
Erkennung von Privilegiensteigerungen in der Domäne
In Erstellen Sie eine benutzerdefinierte Regel zur Verfolgung von Änderungen bestimmter Berechtigungen eines Objekts. Diese wird ausgelöst, wenn Berechtigungen und Rechte für das relevante Objekt in der Domäne hinzugefügt werden:
- Geben Sie den Namen der Regel an
- Setzen Sie die Kategorie auf „Privilegiensteigerung“
- Legen Sie einen Wert für den Ressourcentyp „Alle Ressourcentypen“ fest.
- Dateiserver = Verzeichnisdienste
- Geben Sie die gewünschte Domain an, zum Beispiel nach Name.
- Fügen Sie einen Filter zum Hinzufügen von Berechtigungen am AD-Objekt hinzu.
- Und vergessen Sie nicht, die Option „In untergeordneten Objekten suchen“ unbehandelt zu lassen.

Jetzt der Bericht: Entdeckung der Änderungen der Berechtigungen auf dem Domainobjekt.
Änderungen der Berechtigungen am AD-Objekt sind recht selten, daher sollte alles, was diese Warnung ausgelöst hat, untersucht werden. Es wäre auch ratsam, das Erscheinungsbild und den Inhalt des Berichts vor der Anwendung der Regel zu testen.
Dieser Bericht zeigt auch, ob Sie bereits von diesem Angriff betroffen waren:

Nach der Aktivierung der Regel können alle anderen Ereignisse zur Erhöhung der Berechtigungen über die DatAlert-Weboberfläche untersucht werden:

Nach der Konfiguration dieser Regel können Sie diese und ähnliche Arten von Sicherheitsanfälligkeiten überwachen und sich schützen, Ereignisse mit AD-Verzeichnisdienstobjekten untersuchen und überprüfen, ob Sie von dieser kritischen Anfälligkeit betroffen sind.
Quelle: habr.com
