Skambju Vulnerabbiltà: Kif Tiskopri Elevazzjoni tal-Privileġġ għall-Amministratur tad-Dominju

Skopert din is-sena vulnerabbiltà fl-Iskambju jippermetti lil kull utent tad-dominju jikseb drittijiet ta' amministratur tad-dominju u jikkomprometti l-Active Directory (AD) u hosts oħra konnessi. Illum se ngħidulek kif jaħdem dan l-attakk u kif tiskoprih.

Hawn kif jaħdem dan l-attakk:

1. Attakkant jieħu f'idejh il-kont ta' kwalunkwe utent tad-dominju b'kaxxa postali attiva sabiex jissottoskrivi għall-karatteristika ta' notifika push minn Exchange
2. L-attakkant juża NTLM relay biex iqarraq lis-server tal-Iskambju: bħala riżultat, is-server tal-Iskambju jgħaqqad mal-kompjuter tal-utent kompromess billi juża l-metodu NTLM fuq HTTP, li l-attakkant imbagħad juża biex jawtentika lill-kontrollur tad-dominju permezz tal-LDAP bil-kredenzjali tal-kont tal-Iskambju.
3. L-attakkant jispiċċa juża dawn il-kredenzjali tal-kont tal-Iskambju biex iżid il-privileġġi tiegħu. Dan l-aħħar pass jista' jsir ukoll minn amministratur ostili li diġà għandu aċċess leġittimu biex jagħmel il-bidla meħtieġa fil-permess. Billi toħloq regola biex tiskopri din l-attività, int tkun protett minn dan u attakki simili.

Sussegwentement, attakkant jista ', per eżempju, iħaddem DCSync biex jikseb il-passwords hashed tal-utenti kollha fid-dominju. Dan se jippermettilu jimplimenta diversi tipi ta 'attakki - minn attakki bil-biljett tad-deheb għal trażmissjoni ta' hash.

It-tim tar-riċerka Varonis studja dan il-vettur tal-attakk fid-dettall u ħejja gwida għall-klijenti tagħna biex jiskopruh u fl-istess ħin jiċċekkjaw jekk diġà ġewx kompromessi.

Sejbien tal-Eskalazzjoni tal-Privileġġ tad-Dominju

В DataAlert Oħloq regola tad-dwana biex issegwi bidliet għal permessi speċifiċi fuq oġġett. Jiġi attivat meta jiżdiedu drittijiet u permessi għal oġġett ta' interess fid-dominju:

1. Speċifika l-isem tar-regola
2. Issettja l-kategorija għal "Elevazzjoni tal-Privileġġ"
3. Issettja t-tip tar-riżorsi għal "It-tipi kollha tar-riżorsi"
4. File Server = DirectoryServices
5. Speċifika d-dominju li inti interessat fih, pereżempju, bl-isem
6. Żid filtru biex iżżid il-permessi fuq oġġett AD
7. U tinsiex tħalli l-għażla "Fittex f'oġġetti tat-tfal" mhux magħżula.

U issa r-rapport: skoperta ta 'bidliet fid-drittijiet għal oġġett ta' dominju

Bidliet fil-permessi tal-oġġetti AD huma pjuttost rari, għalhekk kull ħaġa li wassal għal din it-twissija għandha u għandha tiġi investigata. Ikun ukoll idea tajba li tittestja d-dehra u l-kontenut tar-rapport qabel ma tniedi r-regola nnifisha fil-battalja.

Dan ir-rapport se juri wkoll jekk diġà ġejt kompromess minn dan l-attakk:

Ladarba r-regola tiġi attivata, tista' tinvestiga l-avvenimenti l-oħra kollha ta' eskalazzjoni tal-privileġġi billi tuża l-interface web DatAlert:

Ladarba tikkonfigura din ir-regola, tista' tissorvelja u tipproteġi kontra dawn u tipi simili ta' vulnerabbiltajiet tas-sigurtà, tinvestiga avvenimenti b'oġġetti ta' servizzi ta' direttorju AD, u tiddetermina jekk intix suxxettibbli għal din il-vulnerabbiltà kritika.

Sors: www.habr.com