Dit jaar ontdekt Hiermee kan elke domeingebruiker domeinbeheerdersrechten verkrijgen en Active Directory (AD) en andere verbonden hosts in gevaar brengen. Vandaag vertellen we u hoe deze aanval werkt en hoe u deze kunt detecteren.
Zo werkt deze aanval:
- Een aanvaller neemt het account over van elke domeingebruiker met een actieve mailbox om zich te abonneren op de pushmeldingsfunctie van Exchange
- De aanvaller gebruikt NTLM-relay om de Exchange-server te misleiden: als gevolg hiervan maakt de Exchange-server verbinding met de computer van de gecompromitteerde gebruiker met behulp van de NTLM via HTTP-methode, die de aanvaller vervolgens gebruikt om zich via LDAP bij de domeincontroller te authenticeren met Exchange-accountreferenties
- De aanvaller gebruikt uiteindelijk deze Exchange-accountreferenties om zijn bevoegdheden te escaleren. Deze laatste stap kan ook worden uitgevoerd door een vijandige beheerder die al legitieme toegang heeft om de noodzakelijke toestemmingswijziging door te voeren. Door een regel te maken om deze activiteit te detecteren, wordt u beschermd tegen deze en soortgelijke aanvallen.
Vervolgens kan een aanvaller bijvoorbeeld DCSync uitvoeren om de gehashte wachtwoorden van alle gebruikers in het domein te bemachtigen. Hierdoor kan hij verschillende soorten aanvallen implementeren - van golden ticket-aanvallen tot hash-overdracht.
Het Varonis-onderzoeksteam heeft deze aanvalsvector in detail bestudeerd en een handleiding opgesteld waarmee onze klanten deze kunnen detecteren en tegelijkertijd kunnen controleren of ze al zijn gecompromitteerd.
Escalatiedetectie van domeinbevoegdheden
В Maak een aangepaste regel om wijzigingen in specifieke machtigingen voor een object bij te houden. Het wordt geactiveerd bij het toevoegen van rechten en machtigingen aan een interessant object in het domein:
- Geef de regelnaam op
- Stel de categorie in op 'Verhooging van bevoegdheden'
- Stel het resourcetype in op 'Alle resourcetypen'
- Bestandsserver = DirectoryServices
- Geef het domein waarin u geïnteresseerd bent op, bijvoorbeeld op naam
- Voeg een filter toe om machtigingen toe te voegen aan een AD-object
- En vergeet niet de optie "Zoeken in onderliggende objecten" uitgeschakeld te laten.
En nu het rapport: detectie van wijzigingen in rechten op een domeinobject
Wijzigingen in de machtigingen voor een AD-object zijn vrij zeldzaam, dus alles wat deze waarschuwing veroorzaakte, moet en moet worden onderzocht. Het zou ook een goed idee zijn om het uiterlijk en de inhoud van het rapport te testen voordat u de regel zelf in de strijd lanceert.
Dit rapport laat ook zien of je al getroffen bent door deze aanval:
Zodra de regel is geactiveerd, kunt u alle andere escalatiegebeurtenissen van bevoegdheden onderzoeken met behulp van de DatAlert-webinterface:
Nadat u deze regel heeft geconfigureerd, kunt u deze en vergelijkbare typen beveiligingsproblemen bewaken en er bescherming tegen bieden, gebeurtenissen met AD-directoryservices-objecten onderzoeken en bepalen of u vatbaar bent voor dit kritieke beveiligingslek.
Bron: www.habr.com