Kerentanan Exchange: Cara Ndeteksi Elevasi Hak Istimewa menyang Administrator Domain

Ditemokake taun iki kerentanan ing Exchange ngidini pangguna domain entuk hak administrator domain lan kompromi Active Directory (AD) lan host liyane sing disambungake. Dina iki kita bakal pitutur marang kowe carane serangan iki bisa lan carane ndeteksi.

Mangkene cara serangan iki:

1. Penyerang njupuk alih akun pangguna domain apa wae sing nganggo kothak layang aktif supaya bisa langganan fitur kabar push saka Exchange
2. Penyerang nggunakake relay NTLM kanggo ngapusi server Exchange: minangka asil, server Exchange nyambung menyang komputer pangguna sing dikompromi nggunakake metode NTLM liwat HTTP, sing banjur digunakake panyerang kanggo otentikasi menyang kontroler domain liwat LDAP nganggo kredensial akun Exchange
3. Penyerang pungkasane nggunakake kredensial akun Exchange iki kanggo nambah hak istimewa. Langkah pungkasan iki uga bisa ditindakake dening administrator musuhan sing wis duwe akses sing sah kanggo ngganti ijin sing dibutuhake. Kanthi nggawe aturan kanggo ndeteksi kegiatan iki, sampeyan bakal direksa saka serangan iki lan padha.

Sabanjure, panyerang bisa, contone, mbukak DCSync kanggo njupuk sandi hash kabeh pangguna ing domain. Iki bakal ngidini dheweke nindakake macem-macem jinis serangan - saka serangan tiket emas nganti transmisi hash.

Tim riset Varonis wis nyinaoni vektor serangan iki kanthi rinci lan nyiapake pandhuan kanggo para pelanggan kanggo ndeteksi lan uga mriksa manawa dheweke wis dikompromi.

Deteksi Eskalasi Hak Istimewa Domain

В DataAlert Nggawe aturan khusus kanggo nglacak owah-owahan kanggo ijin tartamtu ing obyek. Iki bakal dipicu nalika nambahake hak lan ijin menyang obyek kapentingan ing domain:

1. Nemtokake jeneng aturan
2. Setel kategori menyang "Elevation of Privilege"
3. Setel jinis sumber daya menyang "Kabeh jinis sumber"
4. File Server = Layanan Direktori
5. Nemtokake domain sing sampeyan minati, contone, kanthi jeneng
6. Tambah filter kanggo nambah ijin ing obyek AD
7. Lan aja lali ninggalake opsi "Telusuri ing obyek anak" ora dipilih.

Lan saiki laporan: deteksi owah-owahan ing hak kanggo obyek domain

Owah-owahan kanggo ijin ing obyek AD cukup langka, mula apa wae sing nyebabake bebaya iki kudu lan kudu diselidiki. Iku uga apik kanggo nyoba tampilan lan isi laporan sadurunge ngluncurake aturan kasebut menyang perang.

Laporan iki uga bakal nuduhake yen sampeyan wis dikompromi dening serangan iki:

Sawise aturan kasebut diaktifake, sampeyan bisa nyelidiki kabeh acara eskalasi hak istimewa liyane nggunakake antarmuka web DatAlert:

Sawise sampeyan ngatur aturan iki, sampeyan bisa ngawasi lan nglindhungi saka iki lan jinis kerentanan keamanan padha, neliti acara karo obyek layanan direktori AD, lan nemtokake yen sampeyan rentan kanggo kerentanan kritis iki.

Source: www.habr.com