امسال کشف شد
در اینجا نحوه عملکرد این حمله آمده است:
- یک مهاجم حساب هر کاربر دامنه با صندوق پستی فعال را به منظور اشتراک در ویژگی push notification از Exchange می گیرد.
- مهاجم از رله NTLM برای فریب سرور Exchange استفاده میکند: در نتیجه، سرور Exchange با استفاده از روش NTLM over HTTP به رایانه کاربر آسیبدیده متصل میشود، که سپس مهاجم برای احراز هویت به کنترلکننده دامنه از طریق LDAP با اعتبار حساب Exchange استفاده میکند.
- مهاجم در نهایت از این اعتبارنامه های حساب Exchange برای افزایش امتیازات خود استفاده می کند. این مرحله آخر را نیز میتوان توسط یک مدیر متخاصم انجام داد که از قبل دسترسی قانونی برای ایجاد تغییر مجوز لازم دارد. با ایجاد یک قانون برای شناسایی این فعالیت، از این حملات و حملات مشابه در امان خواهید بود.
متعاقباً، یک مهاجم میتواند، برای مثال، DCSync را برای به دست آوردن رمزهای عبور هش شده همه کاربران در دامنه اجرا کند. این به او اجازه می دهد تا انواع مختلفی از حملات را اجرا کند - از حملات بلیط طلایی گرفته تا انتقال هش.
تیم تحقیقاتی Varonis این بردار حمله را به تفصیل مطالعه کرده و راهنمای مشتریان ما برای شناسایی آن و در عین حال بررسی اینکه آیا قبلاً در معرض خطر قرار گرفته اند یا خیر آماده کرده است.
تشخیص افزایش امتیاز دامنه
В
- نام قانون را مشخص کنید
- دسته را روی "Elevation of Privilege" تنظیم کنید
- نوع منبع را روی "همه انواع منابع" تنظیم کنید
- File Server = DirectoryServices
- دامنه مورد نظر خود را به عنوان مثال با نام مشخص کنید
- یک فیلتر برای اضافه کردن مجوزها روی یک شی AD اضافه کنید
- و فراموش نکنید که گزینه «جستجو در اشیاء فرزند» را بدون انتخاب رها کنید.
و اکنون گزارش: تشخیص تغییرات در حقوق یک شی دامنه
تغییرات در مجوزهای یک شی AD بسیار نادر است، بنابراین هر چیزی که این هشدار را ایجاد کند باید و باید بررسی شود. همچنین ایده خوبی خواهد بود که ظاهر و محتوای گزارش را قبل از وارد کردن خود قانون به نبرد آزمایش کنید.
این گزارش همچنین نشان می دهد که آیا قبلاً توسط این حمله در معرض خطر قرار گرفته اید یا خیر:
پس از فعال شدن این قانون، میتوانید با استفاده از رابط وب DatAlert سایر رویدادهای افزایش امتیاز را بررسی کنید:
هنگامی که این قانون را پیکربندی کردید، میتوانید از این آسیبپذیریهای امنیتی و انواع مشابه محافظت کنید، رویدادها را با اشیاء خدمات دایرکتوری AD بررسی کنید و تعیین کنید که آیا مستعد ابتلا به این آسیبپذیری حیاتی هستید یا خیر.
منبع: www.habr.com