Ανακαλύφθηκε φέτος επιτρέπει σε οποιονδήποτε χρήστη τομέα να αποκτήσει δικαιώματα διαχειριστή τομέα και να παραβιάσει την υπηρεσία καταλόγου Active Directory (AD) και άλλους συνδεδεμένους κεντρικούς υπολογιστές. Σήμερα θα σας πούμε πώς λειτουργεί αυτή η επίθεση και πώς να την εντοπίσετε.
Δείτε πώς λειτουργεί αυτή η επίθεση:
- Ένας εισβολέας αναλαμβάνει τον λογαριασμό οποιουδήποτε χρήστη τομέα με ενεργό γραμματοκιβώτιο προκειμένου να εγγραφεί στη λειτουργία ειδοποίησης push από το Exchange
- Ο εισβολέας χρησιμοποιεί αναμετάδοση NTLM για να εξαπατήσει τον διακομιστή Exchange: ως αποτέλεσμα, ο διακομιστής Exchange συνδέεται με τον υπολογιστή του παραβιασμένου χρήστη χρησιμοποιώντας τη μέθοδο NTLM μέσω HTTP, την οποία ο εισβολέας χρησιμοποιεί στη συνέχεια για έλεγχο ταυτότητας στον ελεγκτή τομέα μέσω LDAP με διαπιστευτήρια λογαριασμού Exchange
- Ο εισβολέας καταλήγει να χρησιμοποιεί αυτά τα διαπιστευτήρια λογαριασμού Exchange για να κλιμακώσει τα προνόμιά του. Αυτό το τελευταίο βήμα μπορεί επίσης να εκτελεστεί από έναν εχθρικό διαχειριστή που έχει ήδη νόμιμη πρόσβαση για να κάνει την απαραίτητη αλλαγή άδειας. Δημιουργώντας έναν κανόνα για τον εντοπισμό αυτής της δραστηριότητας, θα προστατεύεστε από αυτήν και παρόμοιες επιθέσεις.
Στη συνέχεια, ένας εισβολέας θα μπορούσε, για παράδειγμα, να εκτελέσει το DCSync για να αποκτήσει τους κατακερματισμένους κωδικούς πρόσβασης όλων των χρηστών στον τομέα. Αυτό θα του επιτρέψει να υλοποιήσει διάφορους τύπους επιθέσεων - από επιθέσεις χρυσού εισιτηρίου έως μετάδοση κατακερματισμού.
Η ερευνητική ομάδα Varonis μελέτησε λεπτομερώς αυτόν τον φορέα επίθεσης και ετοίμασε έναν οδηγό για να τον εντοπίσουν οι πελάτες μας και ταυτόχρονα να ελέγξουν αν έχουν ήδη παραβιαστεί.
Domain Privilege Elevation Detection
В Δημιουργήστε έναν προσαρμοσμένο κανόνα για να παρακολουθείτε αλλαγές σε συγκεκριμένα δικαιώματα σε ένα αντικείμενο. Θα ενεργοποιηθεί κατά την προσθήκη δικαιωμάτων και δικαιωμάτων σε ένα αντικείμενο ενδιαφέροντος στον τομέα:
- Καθορίστε το όνομα του κανόνα
- Ορίστε την κατηγορία σε "Elevation of Privilege"
- Ορίστε τον τύπο πόρων σε "Όλοι οι τύποι πόρων"
- File Server = DirectoryServices
- Καθορίστε τον τομέα που σας ενδιαφέρει, για παράδειγμα, με το όνομα
- Προσθέστε ένα φίλτρο για να προσθέσετε δικαιώματα σε ένα αντικείμενο AD
- Και μην ξεχάσετε να αφήσετε μη επιλεγμένη την επιλογή "Αναζήτηση σε θυγατρικά αντικείμενα".
Και τώρα η αναφορά: ανίχνευση αλλαγών στα δικαιώματα σε ένα αντικείμενο τομέα
Οι αλλαγές στα δικαιώματα αντικειμένων AD είναι αρκετά σπάνιες, επομένως οτιδήποτε πυροδότησε αυτήν την προειδοποίηση θα πρέπει και θα πρέπει να διερευνηθεί. Θα ήταν επίσης καλή ιδέα να δοκιμάσετε την εμφάνιση και το περιεχόμενο της αναφοράς πριν ξεκινήσετε τον ίδιο τον κανόνα στη μάχη.
Αυτή η αναφορά θα δείξει επίσης εάν έχετε ήδη παραβιαστεί από αυτήν την επίθεση:
Μόλις ενεργοποιηθεί ο κανόνας, μπορείτε να διερευνήσετε όλα τα άλλα συμβάντα κλιμάκωσης προνομίων χρησιμοποιώντας τη διεπαφή ιστού DatAlert:
Αφού διαμορφώσετε αυτόν τον κανόνα, μπορείτε να παρακολουθείτε και να προστατεύσετε από αυτούς και παρόμοιους τύπους ευπάθειας ασφαλείας, να διερευνήσετε συμβάντα με αντικείμενα υπηρεσιών καταλόγου AD και να προσδιορίσετε εάν είστε ευαίσθητοι σε αυτήν την κρίσιμη ευπάθεια.
Πηγή: www.habr.com