Descuberto este ano permite a calquera usuario de dominio obter dereitos de administrador de dominio e comprometer Active Directory (AD) e outros hosts conectados. Hoxe contarémosche como funciona este ataque e como detectalo.
Así é como funciona este ataque:
- Un atacante asume a conta de calquera usuario de dominio cunha caixa de correo activa para subscribirse á función de notificación push de Exchange
- O atacante usa a retransmisión NTLM para enganar o servidor de Exchange: como resultado, o servidor de Exchange conéctase ao ordenador do usuario comprometido mediante o método NTLM sobre HTTP, que despois o atacante utiliza para autenticarse no controlador de dominio mediante LDAP coas credenciais da conta de Exchange.
- O atacante acaba usando estas credenciais da conta de Exchange para aumentar os seus privilexios. Este último paso tamén o pode realizar un administrador hostil que xa teña acceso lexítimo para facer o cambio de permiso necesario. Ao crear unha regra para detectar esta actividade, estarás protexido contra este e ataques similares.
Posteriormente, un atacante podería, por exemplo, executar DCSync para obter os contrasinais hash de todos os usuarios do dominio. Isto permitiralle implementar varios tipos de ataques, desde ataques de ticket dourado ata transmisión de hash.
O equipo de investigación de Varonis estudou este vector de ataque en detalle e elaborou unha guía para que os nosos clientes o detecten e, ao mesmo tempo, comproben se xa se viron comprometidos.
Detección de escalada de privilexios de dominio
В Crea unha regra personalizada para seguir os cambios en permisos específicos dun obxecto. Activarase ao engadir dereitos e permisos a un obxecto de interese no dominio:
- Especifique o nome da regra
- Establece a categoría en "Elevación de privilexios"
- Establece o tipo de recurso en "Todos os tipos de recursos"
- Servidor de ficheiros = DirectoryServices
- Especifique o dominio que lle interesa, por exemplo, polo nome
- Engade un filtro para engadir permisos a un obxecto AD
- E non esquezas deixar a opción "Buscar en obxectos fillos" sen seleccionar.
E agora o informe: detección de cambios nos dereitos dun obxecto de dominio
Os cambios nos permisos nun obxecto AD son bastante raros, polo que calquera cousa que desencadee esta advertencia debería e debería ser investigada. Tamén sería unha boa idea probar a aparencia e o contido do informe antes de lanzar a propia regra á batalla.
Este informe tamén mostrará se xa se viu comprometido por este ataque:
Unha vez activada a regra, pode investigar todos os demais eventos de escalada de privilexios mediante a interface web de DatAlert:
Unha vez que configure esta regra, pode supervisar e protexer contra estes tipos de vulnerabilidades de seguranza e similares, investigar eventos con obxectos de servizos de directorio de AD e determinar se é susceptible a esta vulnerabilidade crítica.
Fonte: www.habr.com