Oppdaget i år lar enhver domenebruker få domeneadministratorrettigheter og kompromittere Active Directory (AD) og andre tilkoblede verter. I dag vil vi fortelle deg hvordan dette angrepet fungerer og hvordan du oppdager det.
Slik fungerer dette angrepet:
- En angriper overtar kontoen til enhver domenebruker med en aktiv postboks for å abonnere på push-varslingsfunksjonen fra Exchange
- Angriperen bruker NTLM-relé for å lure Exchange-serveren: som et resultat kobler Exchange-serveren til den kompromitterte brukerens datamaskin ved å bruke NTLM over HTTP-metoden, som angriperen deretter bruker for å autentisere til domenekontrolleren via LDAP med Exchange-kontolegitimasjon
- Angriperen ender opp med å bruke disse Exchange-kontolegitimasjonene for å eskalere privilegiene sine. Dette siste trinnet kan også utføres av en fiendtlig administrator som allerede har legitim tilgang til å gjøre den nødvendige tillatelsesendringen. Ved å opprette en regel for å oppdage denne aktiviteten, vil du være beskyttet mot dette og lignende angrep.
Deretter kan en angriper for eksempel kjøre DCSync for å få hashed-passord til alle brukere i domenet. Dette vil tillate ham å implementere ulike typer angrep - fra golden ticket-angrep til hash-overføring.
Varonis-forskningsteamet har studert denne angrepsvektoren i detalj og utarbeidet en guide for våre kunder for å oppdage den og samtidig sjekke om de allerede er kompromittert.
Oppdagelse av domeneprivilegium-eskalering
В Opprett en egendefinert regel for å spore endringer i spesifikke tillatelser på et objekt. Den utløses når rettigheter og tillatelser legges til et objekt av interesse i domenet:
- Angi regelnavnet
- Sett kategorien til "Elevation of Privilege"
- Sett ressurstypen til "Alle ressurstyper"
- Filserver = DirectoryServices
- Spesifiser domenet du er interessert i, for eksempel ved navn
- Legg til et filter for å legge til tillatelser på et AD-objekt
- Og ikke glem å la «Søk i underordnede objekter»-alternativet være umerket.
Og nå rapporten: oppdagelse av endringer i rettigheter til et domeneobjekt
Endringer i AD-objekttillatelser er ganske sjeldne, så alt som utløste denne advarselen bør og bør undersøkes. Det vil også være en god idé å teste utseendet og innholdet i rapporten før du starter selve regelen i kamp.
Denne rapporten vil også vise om du allerede har blitt kompromittert av dette angrepet:
Når regelen er aktivert, kan du undersøke alle andre rettighetseskaleringshendelser ved å bruke DatAlert-nettgrensesnittet:
Når du har konfigurert denne regelen, kan du overvåke og beskytte mot disse og lignende typer sikkerhetssårbarheter, undersøke hendelser med AD-katalogtjenester-objekter og finne ut om du er mottakelig for denne kritiske sårbarheten.
Kilde: www.habr.com