Varnarleysi í skiptum: Hvernig á að greina réttindi til lénsstjóra

Uppgötvuð á þessu ári varnarleysi í Exchange gerir öllum lénsnotendum kleift að öðlast lénsstjórnandaréttindi og skerða Active Directory (AD) og aðra tengda gestgjafa. Í dag munum við segja þér hvernig þessi árás virkar og hvernig á að greina hana.

Svona virkar þessi árás:

1. Árásarmaður tekur yfir reikning hvers lénsnotanda sem er með virkt pósthólf til að gerast áskrifandi að tilkynningaeiginleikanum frá Exchange
2. Árásarmaðurinn notar NTLM relay til að plata Exchange þjóninn: þar af leiðandi tengist Exchange þjónninn við tölvu notandans sem er í hættu með því að nota NTLM yfir HTTP aðferðina, sem árásarmaðurinn notar síðan til að auðkenna fyrir lénsstýringunni í gegnum LDAP með Exchange reikningsskilríkjum
3. Árásarmaðurinn endar með því að nota þessi Exchange reikningsskilríki til að auka réttindi sín. Þetta síðasta skref getur einnig verið framkvæmt af fjandsamlegum stjórnanda sem hefur nú þegar lögmætan aðgang til að gera nauðsynlegar leyfisbreytingar. Með því að búa til reglu til að greina þessa virkni verður þú verndaður fyrir þessari og svipuðum árásum.

Í kjölfarið gæti árásarmaður, til dæmis, keyrt DCSync til að fá hashed lykilorð allra notenda á léninu. Þetta gerir honum kleift að framkvæma ýmsar gerðir af árásum - allt frá gylltum miðaárásum til hasssendinga.

Varonis rannsóknarteymið hefur rannsakað þennan árásarferil ítarlega og útbúið leiðbeiningar fyrir viðskiptavini okkar til að greina hann og athuga um leið hvort þeir hafi þegar verið í hættu.

Uppgötvun lénsréttindastigmögnunar

В DataAlert Búðu til sérsniðna reglu til að fylgjast með breytingum á tilteknum heimildum á hlut. Það verður ræst þegar réttindum og heimildum er bætt við hlut sem hefur áhuga á léninu:

1. Tilgreindu nafn reglunnar
2. Stilltu flokkinn á "Elevation of Privilege"
3. Stilltu auðlindagerðina á „Allar auðlindagerðir“
4. Skráaþjónn = DirectoryServices
5. Tilgreindu lénið sem þú hefur áhuga á, til dæmis með nafni
6. Bættu við síu til að bæta við heimildum á AD hlut
7. Og ekki gleyma að skilja valkostinn „Leita í barnahlutum“ óvalinn.

Og nú skýrslan: uppgötvun á breytingum á réttindum á lénshlut

Breytingar á heimildum á AD hlut eru frekar sjaldgæfar, svo allt sem kveikti þessa viðvörun ætti og ætti að rannsaka. Einnig væri gott að prófa útlit og innihald skýrslunnar áður en reglunni sjálfri er hleypt af stokkunum í bardaga.

Þessi skýrsla mun einnig sýna hvort þú hafir þegar orðið fyrir hættu vegna þessarar árásar:

Þegar reglan hefur verið virkjuð geturðu rannsakað alla aðra atburði til að auka réttindi með því að nota DatAlert vefviðmótið:

Þegar þú hefur stillt þessa reglu geturðu fylgst með og verndað gegn þessum og svipuðum tegundum öryggisveikleika, rannsakað atburði með AD skráarþjónustuhlutum og athugað hvort þú sért viðkvæmur fyrir þessum mikilvæga varnarleysi.

Heimild: www.habr.com