今年発見された これにより、すべてのドメイン ユーザーがドメイン管理者権限を取得し、Active Directory (AD) やその他の接続されたホストを侵害できるようになります。 今日は、この攻撃がどのように機能するのか、そしてそれを検出する方法について説明します。
この攻撃の仕組みは次のとおりです。
- 攻撃者は、Exchange からのプッシュ通知機能に登録するために、アクティブなメールボックスを持つドメイン ユーザーのアカウントを乗っ取ります。
- 攻撃者は NTLM リレーを使用して Exchange サーバーを欺きます。その結果、Exchange サーバーは NTLM over HTTP メソッドを使用して侵害されたユーザーのコンピュータに接続します。攻撃者はこれを使用して、Exchange アカウントの資格情報を使用して LDAP 経由でドメイン コントローラーへの認証を行います。
- 攻撃者は最終的に、これらの Exchange アカウント資格情報を使用して権限を昇格させます。 この最後のステップは、必要な権限を変更するための正当なアクセス権をすでに持っている敵対的な管理者によって実行されることもあります。 このアクティビティを検出するルールを作成すると、この攻撃や同様の攻撃から保護されます。
その後、攻撃者は、たとえば DCSync を実行して、ドメイン内のすべてのユーザーのハッシュ化されたパスワードを取得する可能性があります。 これにより、ゴールデン チケット攻撃からハッシュ送信まで、さまざまな種類の攻撃を実行できるようになります。
Varonis 研究チームは、この攻撃ベクトルを詳細に研究し、クライアントがそれを検出し、同時にすでに侵害されているかどうかを確認するためのガイドを作成しました。
ドメイン権限昇格の検出
В オブジェクトの特定の権限に対する変更を追跡するカスタム ルールを作成します。 これは、ドメイン内の対象オブジェクトに権限とアクセス許可を追加するときにトリガーされます。
- ルール名を指定します
- カテゴリを「特権の昇格」に設定します。
- リソースタイプを「すべてのリソースタイプ」に設定します。
- ファイルサーバー = ディレクトリサービス
- 興味のあるドメインを名前などで指定します。
- フィルターを追加して AD オブジェクトに権限を追加します
- また、「子オブジェクトを検索」オプションを選択解除したままにすることを忘れないでください。
そして次のレポート: ドメイン オブジェクトに対する権限の変更の検出
AD オブジェクトの権限が変更されることは非常にまれであるため、この警告を引き起こしたものはすべて調査する必要があります。 ルール自体を戦闘に投入する前に、レポートの外観と内容をテストすることもお勧めします。
このレポートには、この攻撃によってすでに侵害されているかどうかも表示されます。
ルールがアクティブ化されると、DatAlert Web インターフェイスを使用して他のすべての権限昇格イベントを調査できます。
このルールを構成すると、これらおよび同様のタイプのセキュリティ脆弱性を監視および保護したり、AD ディレクトリ サービス オブジェクトに関するイベントを調査したり、この重大な脆弱性に対する脆弱性があるかどうかを確認したりできます。
出所: habr.com