Aurten aurkitu dute
Hona hemen eraso honek nola funtzionatzen duen:
- Erasotzaile batek postontzi aktiboa duen domeinu-erabiltzaileren kontua hartzen du Exchange-ko push jakinarazpenen funtziora harpidetzeko.
- Erasotzaileak NTLM erreleboa erabiltzen du Exchange zerbitzaria engainatzeko: ondorioz, Exchange zerbitzaria arriskuan dagoen erabiltzailearen ordenagailura konektatzen da NTLM bidez HTTP metodoa erabiliz, eta erasotzaileak domeinu-kontrolatzailean autentifikatzeko erabiltzen du LDAP bidez Exchange kontuaren kredentzialekin.
- Erasotzaileak Exchange kontuaren kredentzial hauek erabiltzen ditu bere pribilegioak handitzeko. Azken urrats hau behar den baimen aldaketa egiteko jada baimendutako sarbidea duen administratzaile etsai batek ere egin dezake. Jarduera hau detektatzeko arau bat sortuz gero, eraso honetatik eta antzekoetatik babestuta egongo zara.
Ondoren, erasotzaile batek, adibidez, DCSync exekutatu dezake domeinuko erabiltzaile guztien pasahitzak lortzeko. Horri esker, hainbat eraso mota inplementatu ahal izango ditu - urrezko txartelaren erasoetatik hasi eta hash transmisioraino.
Varonis ikerketa-taldeak eraso-bektore hau zehatz-mehatz aztertu du eta gida bat prestatu du gure bezeroentzat hura detektatzeko eta, aldi berean, dagoeneko arriskuan egon ote diren egiaztatzeko.
Domeinu-pribilegioen eskalatzea hautematea
Π
- Zehaztu arauaren izena
- Ezarri kategoria "Pribilegioen igoera" gisa
- Ezarri baliabide mota "Baliabide mota guztiak" gisa
- Fitxategi zerbitzaria = DirectoryServices
- Zehaztu interesatzen zaizun domeinua, adibidez, izenaren arabera
- Gehitu iragazki bat AD objektu bati baimenak gehitzeko
- Eta ez ahaztu "Bilatu haurren objektuetan" aukera hautatu gabe uztea.
Eta orain txostena: domeinu-objektu baten eskubideen aldaketak hautematea
AD objektu baten baimenen aldaketak nahiko arraroak dira, beraz, abisu hau piztu duen edozer ikertu beharko litzateke eta ikertu behar da. Era berean, komenigarria litzateke txostenaren itxura eta edukia probatzea araua bera borrokara abiatu aurretik.
Txosten honek eraso honek dagoeneko arriskuan jarri zaituen ere erakutsiko du:
Araua aktibatuta dagoenean, pribilegioak igotzeko beste gertaera guztiak iker ditzakezu DatAlert web-interfazea erabiliz:
Arau hau konfiguratu ondoren, segurtasun ahultasun mota hauen eta antzekoen aurka babestu eta babestu ahal izango duzu, AD direktorio-zerbitzuen objektuekin gertaerak ikertu eta ahultasun kritiko hori jasan dezakezun zehaztu.
Iturria: www.habr.com