Kerentanan Pertukaran: Cara Mendeteksi Peningkatan Hak Istimewa kepada Administrator Domain

Ditemukan tahun ini kerentanan di Exchange memungkinkan pengguna domain mana pun untuk mendapatkan hak administrator domain dan menyusupi Direktori Aktif (AD) dan host lain yang terhubung. Hari ini kami akan memberi tahu Anda cara kerja serangan ini dan cara mendeteksinya.

Begini cara serangan ini bekerja:

1. Penyerang mengambil alih akun pengguna domain mana pun dengan kotak surat aktif untuk berlangganan fitur pemberitahuan push dari Exchange
2. Penyerang menggunakan relai NTLM untuk mengelabui server Exchange: sebagai hasilnya, server Exchange terhubung ke komputer pengguna yang disusupi menggunakan metode NTLM melalui HTTP, yang kemudian digunakan penyerang untuk mengautentikasi ke pengontrol domain melalui LDAP dengan kredensial akun Exchange
3. Penyerang akhirnya menggunakan kredensial akun Exchange ini untuk meningkatkan hak istimewa mereka. Langkah terakhir ini juga dapat dilakukan oleh administrator bermusuhan yang telah memiliki akses sah untuk melakukan perubahan izin yang diperlukan. Dengan membuat aturan untuk mendeteksi aktivitas ini, Anda akan terlindungi dari serangan ini dan serangan serupa.

Selanjutnya, penyerang dapat, misalnya, menjalankan DCSync untuk mendapatkan kata sandi hash dari semua pengguna di domain tersebut. Ini akan memungkinkan dia untuk menerapkan berbagai jenis serangan - mulai dari serangan tiket emas hingga transmisi hash.

Tim peneliti Varonis telah mempelajari vektor serangan ini secara rinci dan menyiapkan panduan bagi pelanggan kami untuk mendeteksinya dan pada saat yang sama memeriksa apakah mereka telah disusupi.

Deteksi Peningkatan Hak Istimewa Domain

В Peringatan Data Buat aturan khusus untuk melacak perubahan izin tertentu pada suatu objek. Ini akan dipicu ketika hak dan izin ditambahkan ke objek yang diinginkan di domain:

1. Tentukan nama aturan
2. Tetapkan kategori menjadi "Peningkatan Hak Istimewa"
3. Setel jenis sumber daya ke "Semua jenis sumber daya"
4. File Server = Layanan Direktori
5. Tentukan domain yang Anda minati, misalnya berdasarkan nama
6. Tambahkan filter untuk menambahkan izin pada objek AD
7. Dan jangan lupa untuk membiarkan opsi "Cari di objek anak" tidak dipilih.

Dan sekarang laporannya: deteksi perubahan hak atas objek domain

Perubahan izin pada objek AD cukup jarang terjadi, jadi apa pun yang memicu peringatan ini harus diselidiki. Ini juga merupakan ide bagus untuk menguji tampilan dan isi laporan sebelum meluncurkan aturan itu sendiri ke dalam pertarungan.

Laporan ini juga akan menunjukkan apakah Anda telah disusupi oleh serangan ini:

Setelah aturan diaktifkan, Anda dapat menyelidiki semua peristiwa eskalasi hak istimewa lainnya menggunakan antarmuka web DatAlert:

Setelah Anda mengonfigurasi aturan ini, Anda dapat memantau dan melindungi terhadap jenis kerentanan keamanan ini dan sejenisnya, menyelidiki peristiwa dengan objek layanan direktori AD, dan memeriksa apakah Anda rentan terhadap kerentanan kritis ini.

Sumber: www.habr.com