Tänä vuonna löydetty antaa kenelle tahansa verkkotunnuksen käyttäjälle mahdollisuuden hankkia verkkotunnuksen järjestelmänvalvojan oikeudet ja vaarantaa Active Directoryn (AD) ja muut liitetyt isännät. Tänään kerromme sinulle, kuinka tämä hyökkäys toimii ja kuinka se havaitaan.
Näin tämä hyökkäys toimii:
- Hyökkääjä ottaa haltuunsa minkä tahansa verkkotunnuksen käyttäjän, jolla on aktiivinen postilaatikko, tilin tilatakseen Exchangen push-ilmoitusominaisuuden.
- Hyökkääjä käyttää NTLM-välitystä Exchange-palvelimen huijaamiseen: tämän seurauksena Exchange-palvelin muodostaa yhteyden vaarantuneen käyttäjän tietokoneeseen käyttämällä NTLM over HTTP -menetelmää, jota hyökkääjä sitten käyttää todentaakseen toimialueen ohjaimen LDAP:n kautta Exchange-tilin tunnistetiedoilla.
- Hyökkääjä päätyy käyttämään näitä Exchange-tilin tunnistetietoja oikeuksiensa laajentamiseen. Tämän viimeisen vaiheen voi suorittaa myös vihamielinen järjestelmänvalvoja, jolla on jo laillinen käyttöoikeus tehdä tarvittavat lupamuutokset. Luomalla säännön tämän toiminnan havaitsemiseksi, sinut suojataan tältä ja vastaavilta hyökkäyksiltä.
Myöhemmin hyökkääjä voi esimerkiksi suorittaa DCSyncin saadakseen verkkotunnuksen kaikkien käyttäjien tiivistetyt salasanat. Tämä antaa hänelle mahdollisuuden toteuttaa erilaisia hyökkäyksiä - kultaisista lippuhyökkäyksistä hash-lähetykseen.
Varonis-tutkimusryhmä on tutkinut tätä hyökkäysvektoria perusteellisesti ja laatinut asiakkaillemme oppaan sen havaitsemiseksi ja samalla sen tarkistamiseksi, ovatko he jo vaarantuneet.
Domain Privilege Escalation Detection
В Luo mukautettu sääntö seurataksesi muutoksia kohteen tiettyihin käyttöoikeuksiin. Se käynnistyy, kun oikeuksia ja käyttöoikeuksia lisätään verkkotunnuksen kiinnostavaan kohteeseen:
- Määritä säännön nimi
- Aseta kategoriaksi "Etuoikeuksien korotus"
- Aseta resurssityypiksi "Kaikki resurssityypit"
- Tiedostopalvelin = DirectoryServices
- Määritä kiinnostava verkkotunnus esimerkiksi nimellä
- Lisää suodatin lisätäksesi käyttöoikeuksia AD-objektiin
- Älä myöskään unohda jättää "Hae aliobjekteista" -vaihtoehtoa valitsematta.
Ja nyt raportti: verkkotunnusobjektin oikeuksien muutosten havaitseminen
Muutokset AD-objektin käyttöoikeuksiin ovat melko harvinaisia, joten kaikki, mikä laukaisi tämän varoituksen, tulisi ja pitäisi tutkia. Olisi myös hyvä idea testata raportin ulkoasua ja sisältöä ennen kuin itse sääntö joutuu taisteluun.
Tämä raportti näyttää myös, jos tämä hyökkäys on jo vaarantunut:
Kun sääntö on aktivoitu, voit tutkia kaikkia muita käyttöoikeuksien eskalointitapahtumia käyttämällä DatAlert-verkkokäyttöliittymää:
Kun olet määrittänyt tämän säännön, voit valvoa ja suojata näitä ja samantyyppisiä tietoturva-aukkoja, tutkia tapahtumia AD-hakemistopalveluobjektien avulla ja määrittää, oletko altis tälle kriittiselle haavoittuvuudelle.
Lähde: will.com
