Exchange'i haavatavus: kuidas tuvastada domeeniadministraatori õiguste suurenemist

Sel aastal avastatud haavatavus Exchange'is võimaldab igal domeeni kasutajal omandada domeeni administraatori õigused ning ohustada Active Directoryt (AD) ja muid ühendatud hoste. Täna räägime teile, kuidas see rünnak toimib ja kuidas seda tuvastada.

See rünnak toimib järgmiselt.

1. Ründaja võtab üle iga aktiivse postkastiga domeeni kasutaja konto, et tellida Exchange'i push-teavitusfunktsioon
2. Ründaja kasutab Exchange'i serveri petmiseks NTLM-i releed: selle tulemusel loob Exchange'i server ühenduse ohustatud kasutaja arvutiga, kasutades NTLM-i üle HTTP meetodit, mida ründaja seejärel kasutab Exchange'i konto mandaatidega domeenikontrolleri autentimiseks LDAP-i kaudu.
3. Ründaja kasutab neid Exchange'i konto mandaate oma õiguste laiendamiseks. Seda viimast sammu saab teha ka vaenulik administraator, kellel on juba seaduslik juurdepääs vajaliku loa muudatuse tegemiseks. Selle tegevuse tuvastamiseks reegli loomisega olete selle ja sarnaste rünnakute eest kaitstud.

Seejärel võib ründaja näiteks käivitada DCSynci, et hankida kõigi domeeni kasutajate räsiparoolid. See võimaldab tal rakendada erinevat tüüpi rünnakuid – alates kuldsete piletite rünnakutest kuni räsiedastuseni.

Varonise uurimisrühm on seda rünnakuvektorit üksikasjalikult uurinud ja koostanud meie klientidele juhendi selle tuvastamiseks ja samal ajal kontrollimiseks, kas neid on juba ohustatud.

Domeeni privileegide eskalatsiooni tuvastamine

В DataAlert Looge kohandatud reegel, et jälgida objekti konkreetsete lubade muudatusi. See käivitatakse õiguste ja õiguste lisamisel domeeni huviobjektile:

1. Määrake reegli nimi
2. Määrake kategooriaks "Privileegide tõus"
3. Määrake ressursi tüübiks "Kõik ressursitüübid"
4. Failiserver = DirectoryServices
5. Määrake huvipakkuv domeen näiteks nime järgi
6. AD-objektile õiguste lisamiseks lisage filter
7. Ja ärge unustage jätta valimata valikut "Otsi alamobjektidest".

Ja nüüd aruanne: domeeniobjekti õiguste muudatuste tuvastamine

AD-objekti õiguste muutmine on üsna haruldane, nii et kõike, mis selle hoiatuse käivitas, tuleks ja tuleks uurida. Samuti oleks hea mõte testida aruande välimust ja sisu enne reegli enda lahingusse laskmist.

See aruanne näitab ka seda, kas see rünnak on teid juba ohustanud:

Kui reegel on aktiveeritud, saate DatAlerti veebiliidese abil uurida kõiki muid privileegide eskalatsiooni sündmusi.

Kui olete selle reegli konfigureerinud, saate jälgida ja kaitsta neid ja sarnaseid turvanõrkusi, uurida sündmusi AD kataloogiteenuste objektidega ja teha kindlaks, kas olete selle kriitilise haavatavuse suhtes vastuvõtlik.

Allikas: www.habr.com