Idén fedezték fel
- A támadó átveszi bármely aktív postafiókkal rendelkező domain felhasználó fiókját, hogy előfizessen az Exchange push értesítési szolgáltatására.
- A támadó az NTLM továbbítást használja az Exchange szerver becsapására: ennek eredményeként az Exchange szerver NTLM over HTTP metódussal csatlakozik a feltört felhasználó számítógépéhez, amelyet aztán a támadó a tartományvezérlőhöz való hitelesítéshez használ LDAP-n keresztül Exchange-fiók hitelesítő adataival.
- A támadó végül ezeket az Exchange-fiók hitelesítő adatait használja saját jogosultságai kiterjesztésére. Ezt az utolsó lépést egy ellenséges rendszergazda is végrehajthatja, akinek már jogos hozzáférése van a szükséges engedélymódosításhoz. Ha létrehoz egy szabályt ennek a tevékenységnek az észlelésére, védve lesz ettől és hasonló támadásoktól.
Ezt követően a támadó például futtathatja a DCSync programot, hogy megszerezze a tartomány összes felhasználójának kivonatolt jelszavát. Ez lehetővé teszi számára, hogy különféle típusú támadásokat hajtson végre – az aranyjegyes támadásoktól a hash átvitelig.
A Varonis kutatócsoportja részletesen tanulmányozta ezt a támadási vektort, és útmutatót készített ügyfeleink számára, hogy észleljék, és egyben ellenőrizzék, hogy nem került-e már veszélybe.
Domain jogosultság eszkaláció észlelése
В
- Adja meg a szabály nevét
- Állítsa be a kategóriát "Elevation of Privile" értékre
- Állítsa az erőforrás típusát "Minden erőforrástípus" értékre
- Fájlkiszolgáló = DirectoryServices
- Adja meg az Önt érdeklő domaint, például név szerint
- Adjon hozzá egy szűrőt az AD-objektum engedélyeinek hozzáadásához
- És ne felejtse el bejelöletlenül hagyni a „Keresés gyermekobjektumokban” opciót.
És most a jelentés: egy tartományobjektum jogainak változásainak észlelése
Az AD objektumok engedélyeinek módosítása meglehetősen ritka, ezért mindent, ami ezt a figyelmeztetést kiváltotta, ki kell és kell vizsgálni. Jó ötlet lenne a jelentés megjelenését és tartalmát is tesztelni, mielőtt magát a szabályt harcba bocsátaná.
Ez a jelentés azt is megmutatja, hogy Önt már veszélyeztette ez a támadás:
A szabály aktiválása után a DatAlert webes felületén megvizsgálhatja az összes többi jogosultság-kiterjesztési eseményt:
A szabály konfigurálása után figyelheti az ilyen és hasonló típusú biztonsági réseket, és védekezhet ellenük, kivizsgálhatja az eseményeket AD-címtárszolgáltatás-objektumokkal, és meghatározhatja, hogy Ön ki van-e téve ennek a kritikus sérülékenységnek.
Forrás: will.com