Descoberto este ano permite que qualquer usuário de domínio obtenha direitos de administrador de domínio e comprometa o Active Directory (AD) e outros hosts conectados. Hoje vamos contar como funciona esse ataque e como detectá-lo.
Veja como esse ataque funciona:
- Um invasor assume o controle da conta de qualquer usuário de domínio com uma caixa de correio ativa para assinar o recurso de notificação por push do Exchange
- O invasor usa a retransmissão NTLM para enganar o servidor Exchange: como resultado, o servidor Exchange se conecta ao computador do usuário comprometido usando o método NTLM sobre HTTP, que o invasor usa para autenticar no controlador de domínio via LDAP com credenciais de conta do Exchange
- O invasor acaba usando essas credenciais da conta do Exchange para aumentar seus privilégios. Esta última etapa também pode ser executada por um administrador hostil que já tenha acesso legítimo para fazer a alteração de permissão necessária. Ao criar uma regra para detectar esta atividade, você estará protegido contra este e outros ataques semelhantes.
Posteriormente, um invasor poderia, por exemplo, executar o DCSync para obter as senhas com hash de todos os usuários no domínio. Isso permitirá que ele implemente vários tipos de ataques - desde ataques de tickets dourados até transmissão de hash.
A equipe de pesquisa da Varonis estudou detalhadamente esse vetor de ataque e preparou um guia para nossos clientes detectá-lo e ao mesmo tempo verificar se já foram comprometidos.
Detecção de escalonamento de privilégios de domínio
В Crie uma regra personalizada para rastrear alterações em permissões específicas em um objeto. Será acionado ao adicionar direitos e permissões a um objeto de interesse no domínio:
- Especifique o nome da regra
- Defina a categoria como "Elevação de Privilégio"
- Defina o tipo de recurso como "Todos os tipos de recursos"
- Servidor de arquivos = serviços de diretório
- Especifique o domínio no qual você está interessado, por exemplo, por nome
- Adicione um filtro para adicionar permissões em um objeto AD
- E não se esqueça de deixar a opção “Pesquisar em objetos filhos” desmarcada.
E agora o relatório: detecção de alterações nos direitos de um objeto de domínio
Alterações nas permissões em um objeto AD são bastante raras, portanto, qualquer coisa que acione esse aviso deve e deve ser investigada. Também seria uma boa ideia testar a aparência e o conteúdo do relatório antes de lançar a própria regra na batalha.
Este relatório também mostrará se você já foi comprometido por este ataque:
Depois que a regra for ativada, você poderá investigar todos os outros eventos de escalonamento de privilégios usando a interface web do DatAlert:
Depois de configurar essa regra, você poderá monitorar e proteger contra esses e outros tipos semelhantes de vulnerabilidades de segurança, investigar eventos com objetos de serviços de diretório do AD e determinar se você é suscetível a essa vulnerabilidade crítica.
Fonte: habr.com