ವಿನಿಮಯ ದುರ್ಬಲತೆ: ಡೊಮೇನ್ ನಿರ್ವಾಹಕರಿಗೆ ವಿಶೇಷಾಧಿಕಾರದ ಎತ್ತರವನ್ನು ಕಂಡುಹಿಡಿಯುವುದು ಹೇಗೆ

ಈ ವರ್ಷ ಪತ್ತೆಯಾಗಿದೆ ವಿನಿಮಯದಲ್ಲಿ ದುರ್ಬಲತೆ ಯಾವುದೇ ಡೊಮೇನ್ ಬಳಕೆದಾರರಿಗೆ ಡೊಮೇನ್ ನಿರ್ವಾಹಕರ ಹಕ್ಕುಗಳನ್ನು ಪಡೆಯಲು ಮತ್ತು ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿ (AD) ಮತ್ತು ಇತರ ಸಂಪರ್ಕಿತ ಹೋಸ್ಟ್‌ಗಳನ್ನು ರಾಜಿ ಮಾಡಿಕೊಳ್ಳಲು ಅನುಮತಿಸುತ್ತದೆ. ಈ ದಾಳಿಯು ಹೇಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ ಮತ್ತು ಅದನ್ನು ಹೇಗೆ ಕಂಡುಹಿಡಿಯುವುದು ಎಂದು ಇಂದು ನಾವು ನಿಮಗೆ ಹೇಳುತ್ತೇವೆ.

ಈ ದಾಳಿಯು ಹೇಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ ಎಂಬುದು ಇಲ್ಲಿದೆ:

1. ಎಕ್ಸ್‌ಚೇಂಜ್‌ನಿಂದ ಪುಶ್ ಅಧಿಸೂಚನೆ ವೈಶಿಷ್ಟ್ಯಕ್ಕೆ ಚಂದಾದಾರರಾಗಲು ಸಕ್ರಿಯ ಮೇಲ್‌ಬಾಕ್ಸ್‌ನೊಂದಿಗೆ ಯಾವುದೇ ಡೊಮೇನ್ ಬಳಕೆದಾರರ ಖಾತೆಯನ್ನು ಆಕ್ರಮಣಕಾರರು ತೆಗೆದುಕೊಳ್ಳುತ್ತಾರೆ
2. ಆಕ್ರಮಣಕಾರರು ಎಕ್ಸ್‌ಚೇಂಜ್ ಸರ್ವರ್ ಅನ್ನು ಮೋಸಗೊಳಿಸಲು NTLM ರಿಲೇ ಅನ್ನು ಬಳಸುತ್ತಾರೆ: ಇದರ ಪರಿಣಾಮವಾಗಿ, ಎಕ್ಸ್‌ಚೇಂಜ್ ಸರ್ವರ್ NTLM ಮೂಲಕ HTTP ವಿಧಾನವನ್ನು ಬಳಸಿಕೊಂಡು ರಾಜಿ ಮಾಡಿಕೊಂಡ ಬಳಕೆದಾರರ ಕಂಪ್ಯೂಟರ್‌ಗೆ ಸಂಪರ್ಕಿಸುತ್ತದೆ, ದಾಳಿಕೋರರು ಅದನ್ನು ವಿನಿಮಯ ಖಾತೆಯ ರುಜುವಾತುಗಳೊಂದಿಗೆ LDAP ಮೂಲಕ ಡೊಮೇನ್ ನಿಯಂತ್ರಕಕ್ಕೆ ದೃಢೀಕರಿಸಲು ಬಳಸುತ್ತಾರೆ.
3. ಆಕ್ರಮಣಕಾರರು ತಮ್ಮ ಸವಲತ್ತುಗಳನ್ನು ಹೆಚ್ಚಿಸಲು ಈ ವಿನಿಮಯ ಖಾತೆಯ ರುಜುವಾತುಗಳನ್ನು ಬಳಸುತ್ತಾರೆ. ಅಗತ್ಯ ಅನುಮತಿ ಬದಲಾವಣೆಯನ್ನು ಮಾಡಲು ಈಗಾಗಲೇ ಕಾನೂನುಬದ್ಧ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರುವ ಪ್ರತಿಕೂಲ ನಿರ್ವಾಹಕರಿಂದ ಈ ಕೊನೆಯ ಹಂತವನ್ನು ಸಹ ನಿರ್ವಹಿಸಬಹುದು. ಈ ಚಟುವಟಿಕೆಯನ್ನು ಪತ್ತೆಹಚ್ಚಲು ನಿಯಮವನ್ನು ರಚಿಸುವ ಮೂಲಕ, ಇದರಿಂದ ಮತ್ತು ಅಂತಹುದೇ ದಾಳಿಗಳಿಂದ ನಿಮ್ಮನ್ನು ರಕ್ಷಿಸಲಾಗುತ್ತದೆ.

ತರುವಾಯ, ಆಕ್ರಮಣಕಾರರು, ಉದಾಹರಣೆಗೆ, ಡೊಮೇನ್‌ನಲ್ಲಿರುವ ಎಲ್ಲಾ ಬಳಕೆದಾರರ ಹ್ಯಾಶ್ ಮಾಡಿದ ಪಾಸ್‌ವರ್ಡ್‌ಗಳನ್ನು ಪಡೆಯಲು DCSync ಅನ್ನು ರನ್ ಮಾಡಬಹುದು. ಗೋಲ್ಡನ್ ಟಿಕೆಟ್ ದಾಳಿಯಿಂದ ಹ್ಯಾಶ್ ಟ್ರಾನ್ಸ್ಮಿಷನ್ ವರೆಗೆ - ಇದು ವಿವಿಧ ರೀತಿಯ ದಾಳಿಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅವನನ್ನು ಅನುಮತಿಸುತ್ತದೆ.

ವರೋನಿಸ್ ಸಂಶೋಧನಾ ತಂಡವು ಈ ದಾಳಿಯ ವೆಕ್ಟರ್ ಅನ್ನು ವಿವರವಾಗಿ ಅಧ್ಯಯನ ಮಾಡಿದೆ ಮತ್ತು ಅದನ್ನು ಪತ್ತೆಹಚ್ಚಲು ನಮ್ಮ ಗ್ರಾಹಕರಿಗೆ ಮಾರ್ಗದರ್ಶಿಯನ್ನು ಸಿದ್ಧಪಡಿಸಿದೆ ಮತ್ತು ಅದೇ ಸಮಯದಲ್ಲಿ ಅವರು ಈಗಾಗಲೇ ರಾಜಿ ಮಾಡಿಕೊಂಡಿದ್ದಾರೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸಿ.

ಡೊಮೇನ್ ಪ್ರಿವಿಲೇಜ್ ಎಸ್ಕಲೇಶನ್ ಡಿಟೆಕ್ಷನ್

В ಡೇಟಾ ಎಚ್ಚರಿಕೆ ವಸ್ತುವಿನ ಮೇಲೆ ನಿರ್ದಿಷ್ಟ ಅನುಮತಿಗಳಿಗೆ ಬದಲಾವಣೆಗಳನ್ನು ಟ್ರ್ಯಾಕ್ ಮಾಡಲು ಕಸ್ಟಮ್ ನಿಯಮವನ್ನು ರಚಿಸಿ. ಡೊಮೇನ್‌ನಲ್ಲಿ ಆಸಕ್ತಿಯ ವಸ್ತುವಿಗೆ ಹಕ್ಕುಗಳು ಮತ್ತು ಅನುಮತಿಗಳನ್ನು ಸೇರಿಸುವಾಗ ಇದನ್ನು ಪ್ರಚೋದಿಸಲಾಗುತ್ತದೆ:

1. ನಿಯಮದ ಹೆಸರನ್ನು ಸೂಚಿಸಿ
2. ವರ್ಗವನ್ನು "ಎಲಿವೇಶನ್ ಆಫ್ ಪ್ರಿವಿಲೇಜ್" ಗೆ ಹೊಂದಿಸಿ
3. ಸಂಪನ್ಮೂಲ ಪ್ರಕಾರವನ್ನು "ಎಲ್ಲಾ ಸಂಪನ್ಮೂಲ ಪ್ರಕಾರಗಳು" ಗೆ ಹೊಂದಿಸಿ
4. ಫೈಲ್ ಸರ್ವರ್ = ಡೈರೆಕ್ಟರಿ ಸೇವೆಗಳು
5. ನೀವು ಆಸಕ್ತಿ ಹೊಂದಿರುವ ಡೊಮೇನ್ ಅನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಿ, ಉದಾಹರಣೆಗೆ, ಹೆಸರಿನ ಮೂಲಕ
6. AD ವಸ್ತುವಿನ ಮೇಲೆ ಅನುಮತಿಗಳನ್ನು ಸೇರಿಸಲು ಫಿಲ್ಟರ್ ಅನ್ನು ಸೇರಿಸಿ
7. ಮತ್ತು "ಮಕ್ಕಳ ವಸ್ತುಗಳಲ್ಲಿ ಹುಡುಕಿ" ಆಯ್ಕೆಯನ್ನು ಆಯ್ಕೆ ಮಾಡದೆ ಬಿಡಲು ಮರೆಯಬೇಡಿ.

ಮತ್ತು ಈಗ ವರದಿ: ಡೊಮೇನ್ ವಸ್ತುವಿನ ಹಕ್ಕುಗಳಲ್ಲಿನ ಬದಲಾವಣೆಗಳ ಪತ್ತೆ

AD ಆಬ್ಜೆಕ್ಟ್‌ನಲ್ಲಿನ ಅನುಮತಿಗಳಿಗೆ ಬದಲಾವಣೆಗಳು ತುಂಬಾ ಅಪರೂಪ, ಆದ್ದರಿಂದ ಈ ಎಚ್ಚರಿಕೆಯನ್ನು ಪ್ರಚೋದಿಸಿದ ಯಾವುದನ್ನಾದರೂ ತನಿಖೆ ಮಾಡಬೇಕು ಮತ್ತು ತನಿಖೆ ಮಾಡಬೇಕು. ನಿಯಮವನ್ನು ಯುದ್ಧಕ್ಕೆ ಪ್ರಾರಂಭಿಸುವ ಮೊದಲು ವರದಿಯ ನೋಟ ಮತ್ತು ವಿಷಯವನ್ನು ಪರೀಕ್ಷಿಸುವುದು ಒಳ್ಳೆಯದು.

ಈ ದಾಳಿಯಿಂದ ನೀವು ಈಗಾಗಲೇ ರಾಜಿ ಮಾಡಿಕೊಂಡಿದ್ದರೆ ಈ ವರದಿಯು ಸಹ ತೋರಿಸುತ್ತದೆ:

ನಿಯಮವನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದ ನಂತರ, ನೀವು DatAlert ವೆಬ್ ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಎಲ್ಲಾ ಇತರ ಸವಲತ್ತು ಹೆಚ್ಚಿಸುವ ಘಟನೆಗಳನ್ನು ತನಿಖೆ ಮಾಡಬಹುದು:

ಒಮ್ಮೆ ನೀವು ಈ ನಿಯಮವನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿದರೆ, ಈ ಮತ್ತು ಇದೇ ರೀತಿಯ ಭದ್ರತಾ ದೋಷಗಳ ವಿರುದ್ಧ ನೀವು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಬಹುದು ಮತ್ತು ರಕ್ಷಿಸಬಹುದು, AD ಡೈರೆಕ್ಟರಿ ಸೇವೆಗಳ ಆಬ್ಜೆಕ್ಟ್‌ಗಳೊಂದಿಗೆ ಈವೆಂಟ್‌ಗಳನ್ನು ತನಿಖೆ ಮಾಡಬಹುದು ಮತ್ತು ಈ ನಿರ್ಣಾಯಕ ದುರ್ಬಲತೆಗೆ ನೀವು ಒಳಗಾಗುತ್ತೀರಾ ಎಂದು ನಿರ್ಧರಿಸಬಹುದು.

ಮೂಲ: www.habr.com