Atklāts šogad ļauj jebkuram domēna lietotājam iegūt domēna administratora tiesības un apdraudēt Active Directory (AD) un citus savienotos saimniekdatorus. Šodien mēs jums pateiksim, kā šis uzbrukums darbojas un kā to atklāt.
Lūk, kā šis uzbrukums darbojas:
- Uzbrucējs pārņem jebkura domēna lietotāja kontu ar aktīvu pastkasti, lai abonētu Exchange informatīvo paziņojumu līdzekli.
- Uzbrucējs izmanto NTLM releju, lai apmānītu Exchange serveri: tā rezultātā Exchange serveris izveido savienojumu ar apdraudētā lietotāja datoru, izmantojot NTLM, izmantojot HTTP metodi, ko uzbrucējs pēc tam izmanto, lai autentificētos domēna kontrollerim, izmantojot LDAP, izmantojot Exchange konta akreditācijas datus.
- Uzbrucējs izmanto šos Exchange konta akreditācijas datus, lai palielinātu savas privilēģijas. Šo pēdējo darbību var veikt arī naidīgs administrators, kuram jau ir likumīga piekļuve, lai veiktu nepieciešamās atļaujas izmaiņas. Izveidojot kārtulu šīs darbības noteikšanai, jūs tiksiet pasargāts no šī un līdzīgiem uzbrukumiem.
Pēc tam uzbrucējs varētu, piemēram, palaist DCSync, lai iegūtu visu domēna lietotāju jauktās paroles. Tas viņam ļaus īstenot dažāda veida uzbrukumus – no zelta biļešu uzbrukumiem līdz hash pārraidei.
Varonis pētnieku komanda ir detalizēti izpētījusi šo uzbrukuma vektoru un sagatavojusi ceļvedi mūsu klientiem, lai to atklātu un vienlaikus pārbaudītu, vai tie jau nav apdraudēti.
Domēna privilēģiju eskalācijas noteikšana
В Izveidojiet pielāgotu kārtulu, lai izsekotu konkrēta objekta atļauju izmaiņām. Tas tiks aktivizēts, pievienojot tiesības un atļaujas interesējošam objektam domēnā:
- Norādiet noteikuma nosaukumu
- Iestatiet kategoriju uz "Privilēģiju paaugstināšana"
- Iestatiet resursa veidu uz "Visi resursu veidi"
- Failu serveris = DirectoryServices
- Norādiet jūs interesējošo domēnu, piemēram, pēc nosaukuma
- Pievienojiet filtru, lai pievienotu atļaujas AD objektam
- Un neaizmirstiet atstāt neatlasītu opciju "Meklēt bērnu objektos".
Un tagad ziņojums: domēna objekta tiesību izmaiņu noteikšana
AD objekta atļauju izmaiņas notiek diezgan reti, tāpēc viss, kas izraisīja šo brīdinājumu, ir un ir jāizpēta. Būtu arī ieteicams pārbaudīt ziņojuma izskatu un saturu pirms paša noteikuma palaišanas cīņā.
Šajā pārskatā tiks parādīts arī tas, vai šis uzbrukums jūs jau ir apdraudējis:
Kad kārtula ir aktivizēta, varat izmeklēt visus citus privilēģiju eskalācijas notikumus, izmantojot DatAlert tīmekļa saskarni:
Kad esat konfigurējis šo noteikumu, varat pārraudzīt un aizsargāt pret šiem un līdzīgiem drošības ievainojamības veidiem, izmeklēt notikumus ar AD direktoriju pakalpojumu objektiem un pārbaudīt, vai esat neaizsargāts pret šo kritisko ievainojamību.
Avots: www.habr.com