Ranjivost razmjene: Kako otkriti povećanje privilegija administratoru domene

Otkriven ove godine ranjivost u Exchangeu omogućuje svakom korisniku domene da dobije administratorska prava domene i ugrozi Active Directory (AD) i druga povezana računala. Danas ćemo vam reći kako ovaj napad funkcionira i kako ga otkriti.

Evo kako ovaj napad funkcionira:

1. Napadač preuzima račun bilo kojeg korisnika domene s aktivnim poštanskim sandučićem kako bi se pretplatio na značajku push obavijesti iz Exchangea
2. Napadač koristi NTLM relej kako bi prevario Exchange poslužitelj: kao rezultat, Exchange poslužitelj se povezuje s računalom kompromitiranog korisnika koristeći NTLM preko HTTP metode, koju napadač zatim koristi za autentifikaciju kontroleru domene putem LDAP-a s vjerodajnicama Exchange računa
3. Napadač na kraju koristi ove vjerodajnice Exchange računa za eskalaciju svojih privilegija. Ovaj posljednji korak također može izvršiti neprijateljski raspoloženi administrator koji već ima legitiman pristup da izvrši potrebnu promjenu dopuštenja. Stvaranjem pravila za otkrivanje ove aktivnosti, bit ćete zaštićeni od ovog i sličnih napada.

Nakon toga, napadač bi mogao, na primjer, pokrenuti DCSync kako bi dobio raspršene lozinke svih korisnika u domeni. To će mu omogućiti provedbu raznih vrsta napada - od golden ticket napada do hash prijenosa.

Istraživački tim Varonisa detaljno je proučio ovaj vektor napada i pripremio vodič za naše klijente kako ga otkriti i ujedno provjeriti jesu li već ugroženi.

Detekcija eskalacije privilegija domene

В DataAlert Stvorite prilagođeno pravilo za praćenje promjena određenih dopuštenja na objektu. Pokrenut će se prilikom dodavanja prava i dopuštenja objektu od interesa u domeni:

1. Navedite naziv pravila
2. Postavite kategoriju na "Povećanje privilegija"
3. Postavite vrstu resursa na "Sve vrste resursa"
4. File Server = DirectoryServices
5. Navedite domenu koja vas zanima, na primjer, imenom
6. Dodajte filtar za dodavanje dozvola za AD objekt
7. I ne zaboravite ostaviti neoznačenu opciju "Traži u podređenim objektima".

A sada izvješće: otkrivanje promjena prava na objekt domene

Promjene dopuštenja na AD objektu prilično su rijetke, tako da sve što je pokrenulo ovo upozorenje treba i treba istražiti. Također bi bilo dobro testirati izgled i sadržaj izvješća prije pokretanja samog pravila u bitku.

Ovo će izvješće također pokazati jeste li već bili ugroženi ovim napadom:

Nakon što je pravilo aktivirano, možete istražiti sve ostale događaje eskalacije privilegija pomoću web sučelja DatAlert:

Nakon što konfigurirate ovo pravilo, možete nadzirati i zaštititi se od ovih i sličnih vrsta sigurnosnih ranjivosti, istraživati ​​događaje s objektima AD direktorijskih usluga i utvrditi jeste li podložni ovoj kritičnoj ranjivosti.

Izvor: www.habr.com