Փոխանակման խոցելիություն. Ինչպե՞ս հայտնաբերել տիրույթի ադմինիստրատորի արտոնության բարձրացումը

Հայտնաբերվել է ս.թ խոցելիություն Exchange-ում թույլ է տալիս ցանկացած տիրույթի օգտագործող ձեռք բերել տիրույթի ադմինիստրատորի իրավունքներ և վտանգի ենթարկել Active Directory-ը (AD) և այլ միացված հոսթեր: Այսօր մենք ձեզ կպատմենք, թե ինչպես է գործում այս հարձակումը և ինչպես հայտնաբերել այն:

Ահա թե ինչպես է աշխատում այս հարձակումը.

1. Հարձակվողը տիրում է ակտիվ փոստարկղ ունեցող ցանկացած տիրույթի օգտագործողի հաշիվը, որպեսզի բաժանորդագրվի «Push ծանուցման» գործառույթին Exchange-ից:
2. Հարձակվողն օգտագործում է NTLM ռելե՝ Exchange սերվերին խաբելու համար. արդյունքում Exchange սերվերը միանում է վտանգված օգտատիրոջ համակարգչին՝ օգտագործելով NTLM over HTTP մեթոդը, որն այնուհետև հարձակվողն օգտագործում է LDAP-ի միջոցով տիրույթի վերահսկիչին նույնականացնելու համար Exchange հաշվի հավատարմագրերով:
3. Հարձակվողն ի վերջո օգտագործում է այս Exchange հաշվի հավատարմագրերը՝ իր արտոնությունները մեծացնելու համար: Այս վերջին քայլը կարող է իրականացվել նաև թշնամական ադմինիստրատորի կողմից, որն արդեն ունի օրինական մուտք՝ թույլտվության անհրաժեշտ փոփոխությունը կատարելու համար: Այս գործունեությունը հայտնաբերելու կանոն ստեղծելով՝ դուք պաշտպանված կլինեք այս և նմանատիպ հարձակումներից։

Հետագայում, հարձակվողը կարող է, օրինակ, գործարկել DCSync-ը՝ տիրույթի բոլոր օգտատերերի հաշված գաղտնաբառերը ստանալու համար: Սա թույլ կտա նրան իրականացնել տարբեր տեսակի հարձակումներ՝ ոսկե տոմսերի հարձակումներից մինչև հեշ փոխանցում:

Varonis հետազոտական ​​թիմը մանրամասն ուսումնասիրել է այս հարձակման վեկտորը և պատրաստել ուղեցույց մեր հաճախորդների համար՝ հայտնաբերելու այն և միևնույն ժամանակ ստուգելու, թե արդյոք նրանք արդեն վտանգված են:

Դոմենի արտոնությունների ընդլայնման հայտնաբերում

В DataAlert Ստեղծեք հատուկ կանոն՝ օբյեկտի վրա հատուկ թույլտվությունների փոփոխություններին հետևելու համար: Այն կգործարկվի տիրույթում հետաքրքրող օբյեկտին իրավունքներ և թույլտվություններ ավելացնելիս.

1. Նշեք կանոնի անունը
2. Կատեգորիան սահմանեք «Արտոնության բարձրացում»
3. Սահմանեք ռեսուրսի տեսակը «Բոլոր ռեսուրսների տեսակները»
4. Ֆայլերի սերվեր = DirectoryServices
5. Նշեք ձեզ հետաքրքրող տիրույթը, օրինակ՝ անունով
6. Ավելացրեք զտիչ՝ AD օբյեկտի վրա թույլտվություններ ավելացնելու համար
7. Եվ մի մոռացեք չընտրել «Որոնել մանկական օբյեկտներում» տարբերակը:

Եվ հիմա զեկույցը. տիրույթի օբյեկտի իրավունքների փոփոխությունների հայտնաբերում

AD օբյեկտի թույլտվությունների փոփոխությունները բավականին հազվադեպ են, ուստի այն ամենը, ինչ առաջացրել է այս նախազգուշացումը, պետք է և պետք է ուսումնասիրվի: Նաև լավ գաղափար կլինի ստուգել զեկույցի տեսքը և բովանդակությունը՝ նախքան կանոնը մարտ սկսելը:

Այս զեկույցը ցույց կտա նաև, թե արդյոք դուք արդեն վտանգված եք այս հարձակումից.

Կանոնն ակտիվացնելուց հետո դուք կարող եք ուսումնասիրել արտոնությունների ընդլայնման մյուս բոլոր իրադարձությունները՝ օգտագործելով DatAlert վեբ ինտերֆեյսը.

Այս կանոնը կարգավորելուց հետո դուք կարող եք վերահսկել և պաշտպանվել այս և նմանատիպ տեսակի անվտանգության խոցելիություններից, ուսումնասիրել իրադարձությունները AD գրացուցակի ծառայությունների օբյեկտների հետ և որոշել, թե արդյոք դուք ենթակա եք այս կարևոր խոցելիությանը:

Source: www.habr.com