Descoperit anul acesta permite oricărui utilizator de domeniu să obțină drepturi de administrator de domeniu și să compromită Active Directory (AD) și alte gazde conectate. Astăzi vă vom spune cum funcționează acest atac și cum să-l detectăm.
Iată cum funcționează acest atac:
- Un atacator preia contul oricărui utilizator de domeniu cu o cutie poștală activă pentru a se abona la funcția de notificare push din Exchange
- Atacatorul folosește releul NTLM pentru a păcăli serverul Exchange: ca rezultat, serverul Exchange se conectează la computerul utilizatorului compromis folosind metoda NTLM prin HTTP, pe care atacatorul o folosește apoi pentru a se autentifica la controlerul de domeniu prin LDAP cu acreditările contului Exchange.
- Atacatorul ajunge să folosească aceste acreditări ale contului Exchange pentru a-și escalada propriile privilegii. Acest ultim pas poate fi efectuat și de un administrator ostil care are deja acces legitim pentru a face modificarea necesară a permisiunii. Prin crearea unei reguli pentru a detecta această activitate, veți fi protejat de acest atac și de atacuri similare.
Ulterior, un atacator ar putea, de exemplu, să ruleze DCSync pentru a obține parolele hashing ale tuturor utilizatorilor din domeniu. Acest lucru îi va permite să implementeze diferite tipuri de atacuri - de la atacuri cu bilet de aur până la transmisie hash.
Echipa de cercetare Varonis a studiat în detaliu acest vector de atac și a pregătit un ghid pentru ca clienții noștri să-l detecteze și, în același timp, să verifice dacă au fost deja compromisi.
Detectarea creșterii privilegiilor de domeniu
В Creați o regulă personalizată pentru a urmări modificările aduse permisiunilor specifice pentru un obiect. Acesta va fi declanșat atunci când adăugați drepturi și permisiuni la un obiect de interes din domeniu:
- Specificați numele regulii
- Setați categoria la „Elevare de privilegii”
- Setați tipul de resursă la „Toate tipurile de resurse”
- File Server = DirectoryServices
- Specificați domeniul de care sunteți interesat, de exemplu, după nume
- Adăugați un filtru pentru a adăuga permisiuni pentru un obiect AD
- Și nu uitați să lăsați neselectată opțiunea „Căutare în obiecte copil”.
Și acum raportul: detectarea modificărilor drepturilor asupra unui obiect de domeniu
Modificările la permisiunile pentru un obiect AD sunt destul de rare, așa că orice a declanșat acest avertisment ar trebui și ar trebui să fie investigat. De asemenea, ar fi o idee bună să testați aspectul și conținutul raportului înainte de a lansa regula în sine în luptă.
Acest raport va arăta și dacă ați fost deja compromis de acest atac:
Odată ce regula este activată, puteți investiga toate celelalte evenimente de escaladare a privilegiilor folosind interfața web DatAlert:
Odată ce configurați această regulă, puteți monitoriza și proteja împotriva acestor și a altor tipuri similare de vulnerabilități de securitate, puteți investiga evenimentele cu obiecte de servicii de director AD și puteți verifica dacă sunteți vulnerabil la această vulnerabilitate critică.
Sursa: www.habr.com