ProHoster > Blog > Administrasyon an > Echanj Vulnerabilite: Ki jan yo Detekte Elevasyon Privilèj nan Administratè Domèn

Echanj Vulnerabilite: Ki jan yo Detekte Elevasyon Privilèj nan Administratè Domèn

Dekouvri ane sa a vilnerabilite nan echanj pèmèt nenpòt itilizatè domèn jwenn dwa administratè domèn ak konpwomi Active Directory (AD) ak lòt lame konekte. Jodi a nou pral di w kouman atak sa a fonksyone ak ki jan yo detekte li.

Echanj Vulnerabilite: Ki jan yo Detekte Elevasyon Privilèj nan Administratè Domèn

Men ki jan atak sa a fonksyone:

  1. Yon atakè pran kont nenpòt itilizatè domèn ki gen yon bwat lèt aktif pou yo ka abònman nan karakteristik notifikasyon pouse nan Exchange.
  2. Atakè a sèvi ak relè NTLM pou twonpe sèvè Echanj la: kòm rezilta, sèvè Echanj la konekte ak òdinatè itilizatè a konpwomèt lè l sèvi avèk metòd NTLM sou HTTP, ke atakè a itilize pou otantifye kontwolè domèn nan atravè LDAP ak kalifikasyon kont Echanj.
  3. Atakè a fini itilize kalifikasyon kont Echanj sa yo pou ogmante privilèj yo. Dènye etap sa a kapab fèt tou pa yon administratè ostil ki deja gen aksè lejitim pou fè chanjman pèmisyon ki nesesè yo. Lè w kreye yon règ pou detekte aktivite sa a, ou pral pwoteje kont atak sa a ak atak menm jan an.

Imedyatman, yon atakè ta ka, pou egzanp, kouri DCSync pou jwenn modpas hache tout itilizatè yo nan domèn nan. Sa a pral pèmèt li aplike divès kalite atak - soti nan atak tikè an lò nan transmisyon hash.

Ekip rechèch Varonis te etidye vektè atak sa a an detay e li te prepare yon gid pou kliyan nou yo detekte li epi an menm tan tcheke si yo te deja konpwomèt.

Domèn Privilèj Eskalad Deteksyon

В DataAlert Kreye yon règ koutim pou swiv chanjman nan otorizasyon espesifik sou yon objè. Li pral deklanche lè ajoute dwa ak otorizasyon nan yon objè ki enterese nan domèn nan:

  1. Espesifye non règ la
  2. Mete kategori a nan "Elevasyon Privilèj"
  3. Mete kalite resous la nan "Tout kalite resous"
  4. File Server = DirectoryServices
  5. Espesifye domèn ou enterese nan, pou egzanp, pa non
  6. Ajoute yon filtè pou ajoute otorizasyon sou yon objè AD
  7. Epi pa bliye kite opsyon "Rechèch nan objè timoun" pa seleksyone.

Echanj Vulnerabilite: Ki jan yo Detekte Elevasyon Privilèj nan Administratè Domèn

Epi, koulye a rapò a: deteksyon nan chanjman nan dwa nan yon objè domèn

Chanjman nan otorizasyon sou yon objè AD yo byen ra, kidonk nenpòt bagay ki deklanche avètisman sa a ta dwe epi yo ta dwe envestige. Li ta tou yon bon lide yo teste aparans la ak kontni nan rapò a anvan lanse règ nan tèt li nan batay.

Rapò sa a pral montre tou si atak sa a te deja konpwomèt ou:

Echanj Vulnerabilite: Ki jan yo Detekte Elevasyon Privilèj nan Administratè Domèn

Yon fwa règ la aktive, ou ka mennen ankèt sou tout lòt evènman ogmantasyon privilèj yo lè l sèvi avèk koòdone entènèt DatAlert la:

Echanj Vulnerabilite: Ki jan yo Detekte Elevasyon Privilèj nan Administratè Domèn

Yon fwa ou konfigirasyon règ sa a, ou ka kontwole ak pwoteje kont kalite vilnerabilite sekirite sa yo ak menm jan an, mennen ankèt sou evènman ak objè sèvis anyè AD, epi detèmine si ou sansib a vilnerabilite kritik sa a.

Sous: www.habr.com

Add nouvo kòmantè