Exchange'i haavatavus: kuidas tuvastada õiguste kõrgendamist domeeni administraatoriks.

Sel aastal avastatud haavatavus Exchange'is võimaldab igal domeeni kasutajal saada domeeni administraatori õigusi ning kompromiteerida Active Directory't (AD) ja teisi ühendatud hoste. Täna räägime, kuidas see rünnak toimib ja kuidas seda avastada.

Exchange'i haavatavus: kuidas tuvastada õiguste kõrgendamist domeeni administraatoriks.

Nii see rünnak toimib:

  1. Kurjategija omandab aktiveeritud postkasti väärt kontot, et tellida Exchange'i push-teateid.
  2. Kurjategija kasutab NTLM-i edastamist Exchange'i serveri petmiseks: tulemuseks on see, et Exchange'i server ühendub kompromiteeritud kasutaja arvutiga NTLM over HTTP meetodi abil, mida kurjategija seejärel kasutab domeeni kontrolleri autentimisprotseduuri läbimiseks LDAP abil Exchange'i konto andmetega.
  3. Kokkuvõttes kasutab pahatahtlik isik neid Exchange'i konto õigusi oma privileegide tõstmiseks. Viimane samm võib samuti olla tehtud pahatahtlikult seadistatud administraatori poolt, kes omab juba seaduslikku ligipääsu, et teha vajalik õiguste muudatus. Luues reegli selle tegevuse tuvastamiseks, kaitsete end selle ja teiste sarnaste rünnakute eest.

Seejärel võib pahatahtlik isik näiteks käivitada DCSync'i, et saada kõikide domeeni kasutajate hashed-paroolid. See võimaldab tal teostada erinevaid rünnakute tüüpe — alates golden ticket rünnakutest kuni hash'i edastamiseni.

Varonise uurimisrühm uuris seda rünnaku vektorit põhjalikult ja koostas meie klientidele juhendi selle tuvastamiseks ning samal ajal kontrollimiseks, kas nad on juba kompromiteeritud.

Privileegide tõstmise tuvastamine domeenis

V DatAlert looge kohandatud reegel teatud objektide õiguste muudatuste jälgimiseks. See aktiveerub huvipakkuva objekti õiguste ja lubade lisamisel domeenis:

  1. Määrake reegli nimi
  2. Määrake kategooria 'Privileegide tõstmine'
  3. Määrake väärtus ressursitüübile „Kõik ressursitüübid“
  4. Failiserver = DirectoryServices
  5. Määrake domeen, mis teid huvitab, näiteks nime järgi
  6. Lisage filter õiguste lisamiseks AD-objekti jaoks
  7. Ja ärge unustage jätta mittevalitud valik „Otsi alamobjektides“

Exchange'i haavatavus: kuidas tuvastada õiguste kõrgendamist domeeni administraatoriks.

Ja nüüd aruanne: domeeni objekti õiguste muutuste tuvastamine

Muudatused AD-objekti õigustes on üsna haruldased, seetõttu tuleb kõike, mis kutsus esile selle hoiatuse, uurida. Samuti tasub testida aruande välimust ja sisu enne reegli käiku laskmist.

See aruanne näitab ka, kas olete juba selle rünnaku käes kannatanud:

Exchange'i haavatavus: kuidas tuvastada õiguste kõrgendamist domeeni administraatoriks.

Pärast reegli aktiveerimist saab uurida kõiki muid privileegide tõstmise sündmusi DatAlerti veebiliidese abil:

Exchange'i haavatavus: kuidas tuvastada õiguste kõrgendamist domeeni administraatoriks.

Pärast selle reegli seadistamist saate jälgida ja kaitsta end nende ja sarnaste turvaprobleemide eest, uurida sündmusi AD katalooge puudutavate objektidega ning kontrollida, kas olete selle kriitilise haavatavuse all.

Allikas: habr.com

Osta usaldusväärne veebihosting DDoS kaitsega, VPS VDS serverid 🔥 Osta usaldusväärne veebihosting DDoS kaitsega, VPS VDS serverid | ProHoster