Exchange Vulnerabilitéit: Wéi erkennen d'Erhéijung vum Privileg fir den Domain Administrator

Dëst Joer entdeckt Schwachstelle am Exchange erlaabt all Domain Benotzer Domain Administrateur Rechter ze kréien an Active Directory (AD) an aner verbonne Hosten ze kompromittéieren. Haut wäerte mir Iech soen wéi dësen Attack funktionnéiert a wéi et z'entdecken.

Hei ass wéi dësen Attack funktionnéiert:

1. En Ugräifer iwwerhëlt de Kont vun all Domain Benotzer mat enger aktiver Mailbox fir sech op d'Push Notifikatiounsfunktioun vun Exchange ze abonnéieren
2. Den Ugräifer benotzt NTLM Relais fir den Exchange Server ze tricken: als Resultat verbënnt den Exchange Server mam Computer vum kompromittéierte Benotzer mat der NTLM iwwer HTTP Method, déi den Ugräifer dann benotzt fir dem Domain Controller iwwer LDAP mat Exchange Kont Umeldungsinformatiounen ze authentifizéieren
3. Den Ugräifer schlussendlech dës Exchange Kont Umeldungsinformatioune benotzt fir hir Privilegien ze eskaléieren. Dëse leschte Schrëtt kann och vun engem feindlechen Administrateur ausgeführt ginn, dee schonn e legitimen Zougang huet fir déi néideg Erlaabnis änneren. Andeems Dir eng Regel erstellt fir dës Aktivitéit z'entdecken, sidd Dir vun dëser an ähnlechen Attacke geschützt.

Duerno kéint en Ugräifer zum Beispill DCSync lafen fir déi hashed Passwierder vun alle Benotzer am Domain ze kréien. Dëst erlaabt him verschidden Aarte vun Attacken ëmzesetzen - vu gëllenen Ticketattacken bis Hash-Transmissioun.

D'Varonis Fuerschungsteam huet dësen Attackvektor am Detail studéiert an e Guide fir eis Clienten virbereet fir et z'entdecken a gläichzäiteg ze kontrolléieren ob se scho kompromittéiert goufen.

Domain Privilegien Eskalatioun Detektioun

В DataAlert Erstellt eng personaliséiert Regel fir Ännerungen op spezifesch Permissiounen op engem Objet ze verfolgen. Et gëtt ausgeléist wann Dir Rechter an Permissiounen op en Objet vum Interesse an der Domain bäidréit:

1. Gitt den Numm vun der Regel un
2. Setzt d'Kategorie op "Héicht vu Privilegien"
3. Setzt de Ressourcentyp op "All Ressourcentypen"
4. Dateiserver = DirectoryServices
5. Gitt d'Domain un déi Dir interesséiert sidd, zum Beispill mam Numm
6. Füügt e Filter fir Permissiounen op en AD Objet ze addéieren
7. An vergiesst net d'Optioun "Sich an Kannerobjekter" auswielen ze loossen.

An elo de Bericht: Detektioun vun Ännerungen an de Rechter op engem Domainobjekt

Ännerunge fir Permissiounen op engem AD Objet sinn zimlech seelen, also alles wat dës Warnung ausgeléist huet soll a soll ënnersicht ginn. Et wier och eng gutt Iddi d'Erscheinung an den Inhalt vum Bericht ze testen ier Dir d'Regel selwer an d'Schluecht lancéiert.

Dëse Bericht weist och ob Dir scho vun dësem Attack kompromittéiert sidd:

Wann d'Regel aktivéiert ass, kënnt Dir all aner Privileg Eskalatiounsevenementer mat der DatAlert Webinterface ënnersichen:

Wann Dir dës Regel konfiguréiert hutt, kënnt Dir géint dës an ähnlech Aarte vu Sécherheetsschwieregkeeten iwwerwaachen a schützen, Eventer mat AD Verzeechnesservicer Objeten ënnersichen, a bestëmmen ob Dir ufälleg sidd fir dës kritesch Schwachstelle.

Source: will.com