Odkryte w tym roku pozwala każdemu użytkownikowi domeny uzyskać uprawnienia administratora domeny i naruszyć bezpieczeństwo Active Directory (AD) i innych podłączonych hostów. Dziś opowiemy Ci jak działa ten atak i jak go wykryć.
Oto jak działa ten atak:
- Osoba atakująca przejmuje konto dowolnego użytkownika domeny posiadającego aktywną skrzynkę pocztową, aby subskrybować funkcję powiadomień push z Exchange
- Osoba atakująca używa przekaźnika NTLM do oszukania serwera Exchange: w rezultacie serwer Exchange łączy się z komputerem zaatakowanego użytkownika przy użyciu metody NTLM przez HTTP, której następnie atakujący używa do uwierzytelnienia kontrolera domeny za pośrednictwem protokołu LDAP przy użyciu poświadczeń konta Exchange
- Osoba atakująca wykorzystuje te dane uwierzytelniające do konta Exchange w celu eskalacji swoich uprawnień. Ten ostatni krok może również wykonać wrogi administrator, który ma już legalny dostęp, aby dokonać niezbędnej zmiany uprawnień. Tworząc regułę wykrywającą tę aktywność, będziesz chroniony przed tym i podobnymi atakami.
Następnie osoba atakująca może na przykład uruchomić DCSync w celu uzyskania zaszyfrowanych haseł wszystkich użytkowników w domenie. Pozwoli mu to na realizację różnego rodzaju ataków – od ataków typu „złoty bilet” po transmisję hashową.
Zespół badawczy Varonis szczegółowo zbadał ten wektor ataku i przygotował dla naszych klientów przewodnik, jak go wykryć i jednocześnie sprawdzić, czy nie został już naruszony.
Wykrywanie eskalacji uprawnień domeny
В Utwórz niestandardową regułę, aby śledzić zmiany w określonych uprawnieniach obiektu. Zostanie wywołany podczas dodawania praw i uprawnień do interesującego obiektu w domenie:
- Określ nazwę reguły
- Ustaw kategorię na „Podniesienie poziomu uprawnień”
- Ustaw typ zasobu na „Wszystkie typy zasobów”
- Serwer plików = usługi katalogowe
- Określ interesującą Cię domenę, np. po nazwie
- Dodaj filtr, aby dodać uprawnienia do obiektu AD
- I nie zapomnij pozostawić niezaznaczonej opcji „Szukaj w obiektach podrzędnych”.
A teraz raport: wykrycie zmian w prawach do obiektu domeny
Zmiany w uprawnieniach obiektu AD są dość rzadkie, więc wszystko, co wywołało to ostrzeżenie, powinno i powinno zostać zbadane. Dobrym pomysłem byłoby również przetestowanie wyglądu i zawartości raportu przed wypuszczeniem samej reguły do walki.
Ten raport pokaże również, czy zostałeś już narażony na ataki w wyniku tego ataku:
Po aktywowaniu reguły możesz sprawdzić wszystkie inne zdarzenia związane z eskalacją uprawnień za pomocą interfejsu internetowego DatAlert:
Po skonfigurowaniu tej reguły można monitorować i chronić przed tymi i podobnymi typami luk w zabezpieczeniach, badać zdarzenia z obiektami usług katalogowych AD i określać, czy jesteś podatny na tę krytyczną lukę.
Źródło: www.habr.com