Exchange-sebezhetőség: Hogyan lehet észlelni a tartományadminisztrátor jogosultságának meghosszabbítását

Idén fedezték fel az Exchange sebezhetősége lehetővé teszi bármely tartományfelhasználó számára, hogy tartományadminisztrátori jogokat szerezzen, és feltörje az Active Directory-t (AD) és más csatlakoztatott gazdagépeket. Ma elmondjuk, hogyan működik ez a támadás, és hogyan lehet észlelni.

Így működik ez a támadás:

1. A támadó átveszi bármely aktív postafiókkal rendelkező domain felhasználó fiókját, hogy előfizessen az Exchange push értesítési szolgáltatására.
2. A támadó az NTLM továbbítást használja az Exchange szerver becsapására: ennek eredményeként az Exchange szerver NTLM over HTTP metódussal csatlakozik a feltört felhasználó számítógépéhez, amelyet aztán a támadó a tartományvezérlőhöz való hitelesítéshez használ LDAP-n keresztül Exchange-fiók hitelesítő adataival.
3. A támadó végül ezeket az Exchange-fiók hitelesítő adatait használja saját jogosultságai kiterjesztésére. Ezt az utolsó lépést egy ellenséges rendszergazda is végrehajthatja, akinek már jogos hozzáférése van a szükséges engedélymódosításhoz. Ha létrehoz egy szabályt ennek a tevékenységnek az észlelésére, védve lesz ettől és hasonló támadásoktól.

Ezt követően a támadó például futtathatja a DCSync programot, hogy megszerezze a tartomány összes felhasználójának kivonatolt jelszavát. Ez lehetővé teszi számára, hogy különféle típusú támadásokat hajtson végre – az aranyjegyes támadásoktól a hash átvitelig.

A Varonis kutatócsoportja részletesen tanulmányozta ezt a támadási vektort, és útmutatót készített ügyfeleink számára, hogy észleljék, és egyben ellenőrizzék, hogy nem került-e már veszélybe.

Domain jogosultság eszkaláció észlelése

В DataAlert Hozzon létre egyéni szabályt az objektum adott engedélyeinek változásainak nyomon követéséhez. Akkor aktiválódik, amikor jogokat és engedélyeket adunk egy érdeklődésre számot tartó objektumhoz a tartományban:

1. Adja meg a szabály nevét
2. Állítsa be a kategóriát "Elevation of Privile" értékre
3. Állítsa az erőforrás típusát "Minden erőforrástípus" értékre
4. Fájlkiszolgáló = DirectoryServices
5. Adja meg az Önt érdeklő domaint, például név szerint
6. Adjon hozzá egy szűrőt az AD-objektum engedélyeinek hozzáadásához
7. És ne felejtse el bejelöletlenül hagyni a „Keresés gyermekobjektumokban” opciót.

És most a jelentés: egy tartományobjektum jogainak változásainak észlelése

Az AD objektumok engedélyeinek módosítása meglehetősen ritka, ezért mindent, ami ezt a figyelmeztetést kiváltotta, ki kell és kell vizsgálni. Jó ötlet lenne a jelentés megjelenését és tartalmát is tesztelni, mielőtt magát a szabályt harcba bocsátaná.

Ez a jelentés azt is megmutatja, hogy Önt már veszélyeztette ez a támadás:

A szabály aktiválása után a DatAlert webes felületén megvizsgálhatja az összes többi jogosultság-kiterjesztési eseményt:

A szabály konfigurálása után figyelheti az ilyen és hasonló típusú biztonsági réseket, és védekezhet ellenük, kivizsgálhatja az eseményeket AD-címtárszolgáltatás-objektumokkal, és meghatározhatja, hogy Ön ki van-e téve ennek a kritikus sérülékenységnek.

Forrás: will.com