Atrasta šiais metais leidžia bet kuriam domeno vartotojui įgyti domeno administratoriaus teises ir pažeisti Active Directory (AD) bei kitus prijungtus pagrindinius kompiuterius. Šiandien mes jums pasakysime, kaip ši ataka veikia ir kaip ją aptikti.
Štai kaip veikia ši ataka:
- Užpuolikas perima bet kurio domeno naudotojo, turinčio aktyvią pašto dėžutę, paskyrą, kad užsiprenumeruotų „Exchange“ tiesioginių pranešimų funkciją
- Užpuolikas naudoja NTLM relę, kad apgautų Exchange serverį: dėl to Exchange serveris prisijungia prie pažeisto vartotojo kompiuterio naudodamas NTLM per HTTP metodą, kurį užpuolikas naudoja domeno valdiklio autentifikavimui per LDAP su Exchange paskyros kredencialais.
- Užpuolikas naudoja šiuos „Exchange“ paskyros kredencialus, kad padidintų savo teises. Šį paskutinį veiksmą taip pat gali atlikti priešiškas administratorius, jau turintis teisėtą prieigą, kad galėtų pakeisti reikalingą leidimą. Sukūrę šios veiklos aptikimo taisyklę, būsite apsaugoti nuo šios ir panašių atakų.
Vėliau užpuolikas gali, pavyzdžiui, paleisti DCSync, kad gautų visų domeno naudotojų slaptažodžius su maiša. Tai leis jam įgyvendinti įvairaus tipo atakas – nuo auksinių bilietų atakų iki maišos perdavimo.
Varonio tyrėjų komanda išsamiai ištyrė šį atakos vektorių ir parengė vadovą, kad mūsų klientai galėtų jį aptikti ir tuo pačiu patikrinti, ar jie jau nebuvo pažeisti.
Domeno privilegijų eskalavimo aptikimas
В Sukurkite tinkintą taisyklę, kad galėtumėte stebėti konkrečių objekto leidimų pakeitimus. Jis bus suaktyvintas pridedant teises ir leidimus dominančiam objektui domene:
- Nurodykite taisyklės pavadinimą
- Nustatykite kategoriją į „Privilegijų padidinimas“
- Ištekliaus tipą nustatykite į „Visi išteklių tipai“
- Failų serveris = DirectoryServices
- Nurodykite domeną, kuris jus domina, pavyzdžiui, pagal pavadinimą
- Pridėkite filtrą, kad pridėtumėte leidimus AD objektui
- Nepamirškite palikti nepažymėtos parinkties „Ieškoti antriniuose objektuose“.
O dabar ataskaita: teisių į domeno objektą pakeitimų aptikimas
AD objekto leidimų pakeitimai yra gana reti, todėl viskas, kas sukėlė šį įspėjimą, turėtų ir turėtų būti ištirta. Taip pat būtų naudinga patikrinti ataskaitos išvaizdą ir turinį prieš paleidžiant pačią taisyklę į mūšį.
Šioje ataskaitoje taip pat bus rodoma, ar ši ataka jau buvo pažeista:
Kai taisyklė bus suaktyvinta, galite ištirti visus kitus privilegijų eskalavimo įvykius naudodami DatAlert žiniatinklio sąsają:
Sukonfigūravę šią taisyklę, galite stebėti ir apsisaugoti nuo šių ir panašių tipų saugos spragų, tirti įvykius su AD katalogo paslaugų objektais ir nustatyti, ar esate jautrūs šiam kritiniam pažeidžiamumui.
Šaltinis: www.habr.com