התגלה השנה מאפשר לכל משתמש דומיין לקבל זכויות מנהל דומיין ולסכן את Active Directory (AD) ומארחים מחוברים אחרים. היום נספר לכם כיצד מתקפה זו פועלת וכיצד ניתן לזהות אותה.
כך פועלת ההתקפה הזו:
- תוקף משתלט על חשבונו של כל משתמש דומיין עם תיבת דואר פעילה כדי להירשם לתכונת ההודעות בדחיפה מ-Exchange
- התוקף משתמש בממסר NTLM כדי להערים על שרת ה-Exchange: כתוצאה מכך, שרת ה-Exchange מתחבר למחשב של המשתמש שנפגע באמצעות שיטת NTLM over HTTP, שבה התוקף משתמש לאחר מכן כדי לאמת לבקר התחום באמצעות LDAP עם אישורי חשבון Exchange
- התוקף משתמש בסופו של דבר באישורי חשבון Exchange אלה כדי להסלים את ההרשאות שלו. שלב אחרון זה יכול להתבצע גם על ידי מנהל עוין שכבר יש לו גישה לגיטימית לבצע את שינוי ההרשאה הנדרש. על ידי יצירת כלל לזיהוי פעילות זו, תהיו מוגנים מפני התקפות זו ודומותיה.
לאחר מכן, תוקף יכול, למשל, להפעיל את DCSync כדי להשיג את הסיסמאות הגיבובות של כל המשתמשים בדומיין. זה יאפשר לו ליישם סוגים שונים של התקפות - מהתקפות של כרטיס הזהב ועד שידור חשיש.
צוות המחקר של ורוניס למד את וקטור ההתקפה הזה בפירוט והכין מדריך ללקוחותינו כדי לזהות אותו ובמקביל לבדוק האם הם כבר נפגעו.
זיהוי הסלמה של הרשאות דומיין
В צור כלל מותאם אישית כדי לעקוב אחר שינויים בהרשאות ספציפיות באובייקט. הוא יופעל בעת הוספת זכויות והרשאות למושא עניין בדומיין:
- ציין את שם הכלל
- הגדר את הקטגוריה ל"העלאת פריבילגיה"
- הגדר את סוג המשאב ל"כל סוגי המשאבים"
- שרת קבצים = DirectoryServices
- ציין את הדומיין שאתה מעוניין בו, למשל, לפי שם
- הוסף מסנן כדי להוסיף הרשאות על אובייקט AD
- ואל תשכח להשאיר את האפשרות "חפש באובייקטים ילדים" לא מסומנת.
ועכשיו הדוח: איתור שינויים בזכויות על אובייקט דומיין
שינויים בהרשאות על אובייקט AD הם די נדירים, אז כל מה שהפעיל אזהרה זו צריך וצריך להיחקר. זה יהיה גם רעיון טוב לבדוק את המראה והתוכן של הדו"ח לפני הפעלת הכלל עצמו לקרב.
דוח זה יראה גם אם כבר נפגעת מהתקיפה הזו:
לאחר הפעלת הכלל, תוכל לחקור את כל שאר אירועי הסלמה של הרשאות באמצעות ממשק האינטרנט של DatAlert:
לאחר שתגדיר כלל זה, תוכל לנטר ולהגן מפני סוגים אלה ודומים של פרצות אבטחה, לחקור אירועים עם אובייקטים של שירותי ספריית AD ולקבוע אם אתה רגיש לפגיעות קריטית זו.
מקור: www.habr.com
