Inventum hoc anno usorem fundi cuiuslibet dominii administratoris iura acquirere et in Directorium Active (AD) aliosque conexos exercitus permittit. Hodie narrabimus quomodo haec opera oppugnatio et quomodo detectura sit.
Ecce quomodo oppugnatio haec operatur:
- Invasor invadit rationem cuiuslibet fundi usoris cum activae mailbox ut subscribat notificationi dis pluma a Exchange
- Percussor NTLM Nullam utitur ut servo Exchange fallat: ergo, Exchange servo coniungit computatro suspecto utentis NTLM super HTTP modum, quem oppugnator tunc utitur signo authenticitatis dominii moderatoris per LDAP cum permutatione rationum documentorum.
- Oppugnator his rationibus documentorum Exchange utens desinit privilegia eorum escalate. Hic ultimus gradus potest etiam ab hoste administratore praestari, qui iam legitimum accessum ad necessariam licentiam mutandi faciendi facultatem. Regulam creando ad hanc actionem detegendam, ab his similibusque oppugnationibus tuta eris.
Postmodum invasor, exempli gratia, DCSync currere potuit ut tesseras hastas omnium usorum in ditione obtineat. Hoc permittet eum varias oppugnationum rationes efficere - ex tessera aurea ad detrahenda transmissione oppugnanda.
Turma Varonis investigationis hanc oppugnationem vector singillatim studuit et ducem clientibus nostris ad eam deprehendendam paravit et simul inspiciendum an iam compromissi sunt.
Domain Privilegium Escalation Detection
Π Consuetudo regulae creare mutationes indagare ad permissiones specificas in obiecto. Urguet cum ius et permissiones addito obiecto usuris in dominio:
- Specificare imperio nomen
- Pone genus ad "Elevationem Privilegii"
- Set genus ad resource "Omnes resource genera"
- File Servo = DirectoryServices
- Specificare domain quam interest, exempli gratia, nomine
- Filtrum addere permissiones in AD objectum
- Et noli oblivisci optionem "Investigationis in obiectis infantis" relinquere non electam.
Nunc autem relatio: deprehensio mutationum iurium ad obiectum dominii
Mutationes permissionum in an AD obiecto satis rarae sunt, ita quaecunque admonitio urget, investigari debet et debet. Esset etiam utilem speciem et materiam probare antequam ipsum imperium in proelium deduceret.
Haec fama etiam ostendet, si ab hoc oppugnatione iam suspectus erit;
Cum regulae reducitur, omnia alia privilegii propagationis eventus investigare potes utentes interfaciei DatAlert:
Cum hanc regulam configuraris, contra has et similes generis vulnerabilitates securitatis monitorem tueri et tueri potes, eventus rerum cum AD directorium obiectorum investigare, ac si susceptibiles ad criticam vulnerabilitatem es.
Source: www.habr.com