Exchange Vulnerability- Domain Administrator သို့ အခွင့်ထူးများ မြင့်မားလာခြင်းကို ဘယ်လိုရှာဖွေမလဲ။

ယခုနှစ်တွင် ရှာဖွေတွေ့ရှိခဲ့သည်။ Exchange တွင် အားနည်းချက် ဒိုမိန်းအသုံးပြုသူတိုင်းကို ဒိုမိန်းစီမံခန့်ခွဲသူအခွင့်အရေးများရရှိစေပြီး Active Directory (AD) နှင့် အခြားချိတ်ဆက်ထားသော host များကို အပေးအယူလုပ်ခွင့်ပေးသည်။ ဒီနေ့တော့ ဒီတိုက်ခိုက်မှုက ဘယ်လိုအလုပ်လုပ်သလဲနဲ့ အဲဒါကို ဘယ်လိုရှာဖွေရမလဲဆိုတာ ပြောပြပါမယ်။

ဤတိုက်ခိုက်မှုသည် မည်ကဲ့သို့ အလုပ်လုပ်သည် ဟူသည်-

1. Exchange မှ push အသိပေးချက်အင်္ဂါရပ်ကို စာရင်းသွင်းရန်အတွက် တိုက်ခိုက်သူသည် တက်ကြွသော စာတိုက်ပုံးရှိ မည်သည့်ဒိုမိန်းအသုံးပြုသူ၏အကောင့်ကို လွှဲပြောင်းယူသည်
2. တိုက်ခိုက်သူသည် Exchange ဆာဗာကိုလှည့်ဖြားရန် NTLM ထပ်လောင်းကိုအသုံးပြုသည်- ရလဒ်အနေဖြင့်၊ Exchange ဆာဗာသည် HTTP နည်းလမ်းမှတစ်ဆင့် NTLM နည်းလမ်းကို အသုံးပြု၍ တိုက်ခိုက်သူသည် Exchange အကောင့်အထောက်အထားများဖြင့် LDAP မှတစ်ဆင့် ဒိုမိန်းထိန်းချုပ်သူထံ စစ်မှန်ကြောင်းအထောက်အထားပြရန် အသုံးပြုသည့် လဲလှယ်ရေးဆာဗာမှ ချိတ်ဆက်ပေးသည်။
3. တိုက်ခိုက်သူသည် ၎င်းတို့၏အခွင့်အရေးများကို မြှင့်တင်ရန်အတွက် ဤ Exchange အကောင့်အထောက်အထားများကို အသုံးပြုပြီး အဆုံးသတ်ပါသည်။ လိုအပ်သောခွင့်ပြုချက်ကို ပြောင်းလဲရန် တရားဝင်အသုံးပြုခွင့်ရှိပြီးသားဖြစ်သော ရန်လိုသောစီမံခန့်ခွဲသူမှလည်း ဤနောက်ဆုံးအဆင့်ကို လုပ်ဆောင်နိုင်ပါသည်။ ဤလုပ်ဆောင်ချက်ကို ထောက်လှမ်းရန် စည်းမျဉ်းတစ်ခုကို ဖန်တီးခြင်းဖြင့် သင်သည် ဤနှင့် အလားတူတိုက်ခိုက်မှုများမှ ကာကွယ်ပေးပါမည်။

နောက်ပိုင်းတွင်၊ တိုက်ခိုက်သူသည် ဒိုမိန်းအတွင်းရှိ အသုံးပြုသူအားလုံး၏ hashed စကားဝှက်များကို ရယူရန် ဥပမာအားဖြင့် DCSync ကို run နိုင်သည်။ ၎င်းသည် ရွှေလက်မှတ်တိုက်ခိုက်မှုမှ hash transmission အထိ အမျိုးမျိုးသော တိုက်ခိုက်မှုများကို အကောင်အထည်ဖော်နိုင်စေမည်ဖြစ်သည်။

Varonis သုတေသနအဖွဲ့သည် ဤတိုက်ခိုက်မှု vector ကို အသေးစိတ်လေ့လာပြီး ကျွန်ုပ်တို့၏ဖောက်သည်များသိရှိနိုင်စေရန် လမ်းညွှန်ချက်တစ်ခုကို ပြင်ဆင်ထားပြီး တစ်ချိန်တည်းတွင် ၎င်းတို့သည် အပေးအယူခံရပြီးဖြစ်ကြောင်း စစ်ဆေးပါသည်။

Domain Privilege Escalation Detection

В DataAlert အရာဝတ္ထုတစ်ခုပေါ်ရှိ သီးခြားခွင့်ပြုချက်များကို ပြောင်းလဲမှုများကို ခြေရာခံရန် စိတ်ကြိုက်စည်းမျဉ်းတစ်ခု ဖန်တီးပါ။ ဒိုမိန်းတွင် စိတ်ဝင်စားသည့်အရာတစ်ခုသို့ လုပ်ပိုင်ခွင့်နှင့် ခွင့်ပြုချက်များကို ပေါင်းထည့်သောအခါ ၎င်းကို အစပျိုးလိုက်သည်-

1. စည်းကမ်းအမည်ကို သတ်မှတ်ပါ။
2. အမျိုးအစားကို "ခံစားခွင့် မြင့်မားခြင်း" ဟု သတ်မှတ်ပါ
3. အရင်းအမြစ်အမျိုးအစားကို "အရင်းအမြစ်အမျိုးအစားအားလုံး" သို့ သတ်မှတ်ပါ
4. ဖိုင်ဆာဗာ = လမ်းညွှန်ဝန်ဆောင်မှုများ
5. ဥပမာအားဖြင့် သင်စိတ်ဝင်စားသော ဒိုမိန်းကို အမည်ဖြင့် သတ်မှတ်ပါ။
6. AD အရာဝတ္ထုတစ်ခုပေါ်တွင် ခွင့်ပြုချက်များထည့်ရန် စစ်ထုတ်မှုတစ်ခုထည့်ပါ။
7. ထို့အပြင် "ကလေးအရာဝတ္တုများတွင် ရှာဖွေရန်" ရွေးချယ်မှုကို ချန်ထားရန် မမေ့ပါနှင့်။

ယခု အစီရင်ခံစာ- ဒိုမိန်းအရာဝတ္တုတစ်ခုအတွက် လုပ်ပိုင်ခွင့်ပြောင်းလဲမှုများကို ရှာဖွေခြင်း။

AD အရာဝတ္တုတစ်ခုပေါ်ရှိ ခွင့်ပြုချက်များကို ပြောင်းလဲခြင်းမှာ အလွန်ရှားပါသည်၊ ထို့ကြောင့် ဤသတိပေးချက်ကို အစပျိုးခဲ့သည့် မည်သည့်အရာကိုမဆို စုံစမ်းစစ်ဆေးသင့်ပါသည်။ စည်းမျဉ်းကို တိုက်ပွဲအဖြစ် မစတင်မီ အစီရင်ခံစာ၏ အသွင်အပြင်နှင့် အကြောင်းအရာတို့ကို စမ်းသပ်ရန် အကြံကောင်းတစ်ခုလည်း ဖြစ်သည်။

သင်သည် ဤတိုက်ခိုက်မှုကြောင့် အပေးအယူလုပ်ထားပြီးဖြစ်လျှင်လည်း ဤအစီရင်ခံစာတွင် ဖော်ပြပါမည်-

စည်းမျဉ်းကို အသက်သွင်းပြီးသည်နှင့်၊ သင်သည် DatAlert ဝဘ်အင်တာဖေ့စ်ကို အသုံးပြု၍ အခြားသော အခွင့်ထူးတိုးမြင့်စေသည့် ဖြစ်ရပ်များအားလုံးကို စုံစမ်းနိုင်သည်-

ဤစည်းမျဉ်းကို ပြင်ဆင်သတ်မှတ်ပြီးသည်နှင့် သင်သည် ဤလုံခြုံရေး အားနည်းချက်အမျိုးအစားများနှင့် အလားတူသော အားနည်းချက်များကို စောင့်ကြည့်ကာ ကာကွယ်နိုင်သည်၊ AD directory services objects များဖြင့် ဖြစ်ရပ်များကို စုံစမ်းစစ်ဆေးပြီး ဤအရေးကြီးသော အားနည်းချက်ကို ခံရနိုင်ခြေရှိမရှိ ဆုံးဖြတ်နိုင်ပါသည်။

source: www.habr.com