آسیب پذیری Exchange: چگونه می توان افزایش امتیاز به مدیر دامنه را تشخیص داد

امسال کشف شد آسیب پذیری در Exchange به هر کاربر دامنه اجازه می دهد تا حقوق سرپرست دامنه را به دست آورد و Active Directory (AD) و سایر میزبان های متصل را به خطر بیاندازد. امروز به شما خواهیم گفت که این حمله چگونه کار می کند و چگونه آن را شناسایی کنید.

در اینجا نحوه عملکرد این حمله آمده است:

1. یک مهاجم حساب هر کاربر دامنه با صندوق پستی فعال را به منظور اشتراک در ویژگی push notification از Exchange می گیرد.
2. مهاجم از رله NTLM برای فریب سرور Exchange استفاده می‌کند: در نتیجه، سرور Exchange با استفاده از روش NTLM over HTTP به رایانه کاربر آسیب‌دیده متصل می‌شود، که سپس مهاجم برای احراز هویت به کنترل‌کننده دامنه از طریق LDAP با اعتبار حساب Exchange استفاده می‌کند.
3. مهاجم در نهایت از این اعتبارنامه های حساب Exchange برای افزایش امتیازات خود استفاده می کند. این مرحله آخر را نیز می‌توان توسط یک مدیر متخاصم انجام داد که از قبل دسترسی قانونی برای ایجاد تغییر مجوز لازم دارد. با ایجاد یک قانون برای شناسایی این فعالیت، از این حملات و حملات مشابه در امان خواهید بود.

متعاقباً، یک مهاجم می‌تواند، برای مثال، DCSync را برای به دست آوردن رمزهای عبور هش شده همه کاربران در دامنه اجرا کند. این به او اجازه می دهد تا انواع مختلفی از حملات را اجرا کند - از حملات بلیط طلایی گرفته تا انتقال هش.

تیم تحقیقاتی Varonis این بردار حمله را به تفصیل مطالعه کرده و راهنمای مشتریان ما برای شناسایی آن و در عین حال بررسی اینکه آیا قبلاً در معرض خطر قرار گرفته اند یا خیر آماده کرده است.

تشخیص افزایش امتیاز دامنه

В DataAlert یک قانون سفارشی برای ردیابی تغییرات مجوزهای خاص روی یک شی ایجاد کنید. هنگام اضافه کردن حقوق و مجوزها به یک شی مورد علاقه در دامنه فعال می شود:

1. نام قانون را مشخص کنید
2. دسته را روی "Elevation of Privilege" تنظیم کنید
3. نوع منبع را روی "همه انواع منابع" تنظیم کنید
4. File Server = DirectoryServices
5. دامنه مورد نظر خود را به عنوان مثال با نام مشخص کنید
6. یک فیلتر برای اضافه کردن مجوزها روی یک شی AD اضافه کنید
7. و فراموش نکنید که گزینه «جستجو در اشیاء فرزند» را بدون انتخاب رها کنید.

و اکنون گزارش: تشخیص تغییرات در حقوق یک شی دامنه

تغییرات در مجوزهای یک شی AD بسیار نادر است، بنابراین هر چیزی که این هشدار را ایجاد کند باید و باید بررسی شود. همچنین ایده خوبی خواهد بود که ظاهر و محتوای گزارش را قبل از وارد کردن خود قانون به نبرد آزمایش کنید.

این گزارش همچنین نشان می دهد که آیا قبلاً توسط این حمله در معرض خطر قرار گرفته اید یا خیر:

پس از فعال شدن این قانون، می‌توانید با استفاده از رابط وب DatAlert سایر رویدادهای افزایش امتیاز را بررسی کنید:

هنگامی که این قانون را پیکربندی کردید، می‌توانید از این آسیب‌پذیری‌های امنیتی و انواع مشابه محافظت کنید، رویدادها را با اشیاء خدمات دایرکتوری AD بررسی کنید و تعیین کنید که آیا مستعد ابتلا به این آسیب‌پذیری حیاتی هستید یا خیر.

منبع: www.habr.com