Malkovrita ĉi-jare permesas al ajna domajna uzanto akiri domajnan administrantajn rajtojn kaj kompromiti Aktivan Dosierujon (AD) kaj aliajn konektitajn gastigantojn. Hodiaŭ ni rakontos al vi kiel ĉi tiu atako funkcias kaj kiel detekti ĝin.
Jen kiel funkcias ĉi tiu atako:
- Atakanto transprenas la konton de iu ajn domajna uzanto kun aktiva leterkesto por aboni la funkcion pri puŝa sciigo de Exchange.
- La atakanto uzas NTLM-relajson por trompi la Exchange-servilon: kiel rezulto, la Exchange-servilo konektas al la komputilo de la kompromitita uzanto uzante la NTLM super HTTP-metodon, kiun la atakanto tiam uzas por aŭtentikigi al la domajna regilo per LDAP kun Interŝanĝaj kontakreditaĵoj.
- La atakanto finas uzi ĉi tiujn akreditaĵojn de konto de Exchange por pligrandigi siajn privilegiojn. Ĉi tiu lasta paŝo ankaŭ povas esti farita de malamika administranto, kiu jam havas legitiman aliron por fari la necesan permesan ŝanĝon. Kreante regulon por detekti ĉi tiun agadon, vi estos protektita kontraŭ ĉi tiu kaj similaj atakoj.
Poste, atakanto povus, ekzemple, ruli DCSync por akiri la haŝitajn pasvortojn de ĉiuj uzantoj en la domajno. Ĉi tio permesos al li efektivigi diversajn specojn de atakoj - de oraj biletaj atakoj ĝis hashtransdono.
La esplora teamo de Varonis detale studis ĉi tiun atakvektoron kaj preparis gvidilon por niaj klientoj por detekti ĝin kaj samtempe kontroli ĉu ili jam estis kompromititaj.
Domajna Privilege Escalation Detection
В Kreu kutiman regulon por spuri ŝanĝojn al specifaj permesoj sur objekto. Ĝi estos ekigita aldonante rajtojn kaj permesojn al objekto de intereso en la domajno:
- Indiku la regulnomon
- Agordu la kategorion al "Alteco de Privilegio"
- Agordu la rimedan tipon al "Ĉiuj rimedotipoj"
- Dosiera Servilo = Dosierujoj
- Indiku la domajnon pri kiu vi interesiĝas, ekzemple laŭ nomo
- Aldonu filtrilon por aldoni permesojn al AD-objekto
- Kaj ne forgesu lasi la opcion "Serĉi en infanaj objektoj" neelektita.
Kaj nun la raporto: detekto de ŝanĝoj en rajtoj al domajna objekto
Ŝanĝoj al permesoj sur AD-objekto estas sufiĉe maloftaj, do io ajn, kio ekigis ĉi tiun averton, devus kaj estu esplorita. Ankaŭ estus bona ideo testi la aspekton kaj enhavon de la raporto antaŭ lanĉi la regulon mem en batalon.
Ĉi tiu raporto ankaŭ montros ĉu vi jam estis kompromitita de ĉi tiu atako:
Post kiam la regulo estas aktivigita, vi povas esplori ĉiujn aliajn privilegiajn eskaladajn eventojn uzante la interfacon de DatAlert:
Post kiam vi agordas ĉi tiun regulon, vi povas monitori kaj protekti kontraŭ ĉi tiuj kaj similaj specoj de sekurecaj vundeblecoj, esplori eventojn kun objektoj de AD-dosierujoj kaj kontroli ĉu vi estas vundebla al ĉi tiu kritika vundebleco.
fonto: www.habr.com