Ditemui tahun ini
Begini cara serangan ini berfungsi:
- Penyerang mengambil alih akaun mana-mana pengguna domain dengan peti mel aktif untuk melanggan ciri pemberitahuan tolak daripada Exchange
- Penyerang menggunakan geganti NTLM untuk menipu pelayan Exchange: akibatnya, pelayan Exchange menyambung ke komputer pengguna yang terjejas menggunakan kaedah NTLM melalui HTTP, yang kemudiannya digunakan oleh penyerang untuk mengesahkan kepada pengawal domain melalui LDAP dengan bukti kelayakan akaun Exchange
- Penyerang akhirnya menggunakan bukti kelayakan akaun Exchange ini untuk meningkatkan keistimewaan mereka. Langkah terakhir ini juga boleh dilakukan oleh pentadbir yang bermusuhan yang sudah mempunyai akses yang sah untuk membuat perubahan kebenaran yang diperlukan. Dengan membuat peraturan untuk mengesan aktiviti ini, anda akan dilindungi daripada serangan ini dan yang serupa.
Selepas itu, penyerang boleh, sebagai contoh, menjalankan DCSync untuk mendapatkan kata laluan cincang semua pengguna dalam domain. Ini akan membolehkan dia melaksanakan pelbagai jenis serangan - daripada serangan tiket emas kepada penghantaran cincang.
Pasukan penyelidik Varonis telah mengkaji vektor serangan ini secara terperinci dan menyediakan panduan untuk pelanggan kami mengesannya dan pada masa yang sama menyemak sama ada mereka telah terjejas.
Pengesanan Peningkatan Keistimewaan Domain
Π
- Nyatakan nama peraturan
- Tetapkan kategori kepada "Peningkatan Keistimewaan"
- Tetapkan jenis sumber kepada "Semua jenis sumber"
- Pelayan Fail = DirectoryServices
- Tentukan domain yang anda minati, contohnya, dengan nama
- Tambahkan penapis untuk menambah kebenaran pada objek AD
- Dan jangan lupa untuk meninggalkan pilihan "Cari dalam objek kanak-kanak" tidak dipilih.
Dan kini laporan: pengesanan perubahan dalam hak kepada objek domain
Perubahan pada kebenaran pada objek AD agak jarang berlaku, jadi apa-apa yang mencetuskan amaran ini harus dan harus disiasat. Ia juga merupakan idea yang baik untuk menguji penampilan dan kandungan laporan sebelum melancarkan peraturan itu sendiri ke dalam pertempuran.
Laporan ini juga akan menunjukkan jika anda telah terjejas oleh serangan ini:
Setelah peraturan diaktifkan, anda boleh menyiasat semua peristiwa peningkatan keistimewaan lain menggunakan antara muka web DatAlert:
Sebaik sahaja anda mengkonfigurasi peraturan ini, anda boleh memantau dan melindungi daripada ini dan jenis kelemahan keselamatan yang serupa, menyiasat peristiwa dengan objek perkhidmatan direktori AD dan menentukan sama ada anda terdedah kepada kerentanan kritikal ini.
Sumber: www.habr.com