Hita tamin'ity taona ity mamela ny mpampiasa sehatra rehetra hahazo ny zon'ny mpitantana ny sehatra ary mampandefitra ny Active Directory (AD) sy ireo mpampiantrano hafa mifandray. Androany dia holazainay aminao ny fomba fiasan'ity fanafihana ity sy ny fomba hamantarana azy.
Toy izao ny fomba fiasan'ity fanafihana ity:
- Ny mpanafika iray dia mandray ny kaontin'ny mpampiasa sehatra rehetra misy boaty mailaka mavitrika mba hisoratra anarana amin'ny endri-pampandrenesana fanosehana avy amin'ny Exchange
- Mampiasa fampitaovana NTLM ny mpanafika mba hamitahana ny mpizara Exchange: vokatr'izany, ny mpizara Exchange dia mifandray amin'ny solosain'ny mpampiasa simba amin'ny alàlan'ny fomba NTLM amin'ny HTTP, izay ampiasain'ny mpanafika mba hanamarinana amin'ny mpanara-maso ny sehatra amin'ny alàlan'ny LDAP miaraka amin'ny fahazoan-dàlana kaonty Exchange
- Ny mpanafika dia mifarana amin'ny fampiasana ireo fahazoan-dàlana amin'ny kaonty Exchange mba hampitomboana ny tombontsoany. Ity dingana farany ity koa dia azon'ny administratera mankahala izay efa manana fidirana ara-dalàna hanovana ny fahazoan-dàlana ilaina. Amin'ny famoronana fitsipika hamantarana ity hetsika ity dia ho voaro amin'izany sy ny fanafihana mitovitovy amin'izany ianao.
Avy eo, ny mpanafika iray dia afaka, ohatra, mampandeha ny DCSync mba hahazoana ny tenimiafina voasaron'ny mpampiasa rehetra ao amin'ny sehatra. Izany dia hamela azy hampihatra karazana fanafihana isan-karazany - manomboka amin'ny fanafihana tapakila volamena ka hatramin'ny fandefasana hash.
Ny ekipa mpikaroka Varonis dia nandinika amin'ny antsipiriany ity vector fanafihana ity ary nanomana torolàlana ho an'ny mpanjifanay hamantatra izany ary amin'ny fotoana iray ihany koa dia manamarina raha toa ka efa voatohintohina izy ireo.
Fikarohana momba ny fampitomboana ny tombontsoan'ny Domain
В Mamorona fitsipika manokana hanaraha-maso ny fanovana ny fahazoan-dàlana manokana amin'ny zavatra iray. Hipoitra izany rehefa manampy zo sy alalana amin'ny zavatra mahaliana ao amin'ny sehatra:
- Lazao ny anaran'ny fitsipika
- Ovao ho "Elevation of Privilege" ny sokajy
- Apetraho amin'ny "karazana loharano rehetra" ny karazana loharano.
- File Server = DirectoryServices
- Omeo anarana ny sehatra mahaliana anao, ohatra
- Manampia sivana mba hanampiana alalana amin'ny zavatra AD
- Ary aza adino ny mamela ny safidy "Search in child objects" tsy voafantina.
Ary izao ny tatitra: fitadiavana fiovana amin'ny zo amin'ny sehatra iray
Tsy fahita firy ny fanovana ny fahazoan-dàlana amin'ny zavatra AD, ka izay rehetra nahatonga an'io fampitandremana io dia tokony hohadihadiana. Tsara ihany koa ny mitsapa ny endrika sy ny votoatin'ny tatitra alohan'ny handefasana ny fitsipika ho amin'ny ady.
Hasehon'ity tatitra ity ihany koa raha efa voatohintohin'ity fanafihana ity ianao:
Rehefa voahetsika ny fitsipika dia azonao atao ny manadihady ireo hetsika fisondrotry ny tombontsoa hafa rehetra amin'ny fampiasana ny seha-tranonkala DatAlert:
Raha vantany vao amboarinao io fitsipika io, dia azonao atao ny manara-maso sy miaro amin'ireo sy ireo karazana vulnerabilities momba ny fiarovana, manadihady hetsika miaraka amin'ireo zavatra momba ny serivisy AD directory, ary mamaritra raha mety ho tratran'io vulnerable io ianao.
Source: www.habr.com
