Descoperit anul acesta
Iată cum funcționează acest atac:
- Un atacator preia contul oricărui utilizator de domeniu cu o cutie poștală activă pentru a se abona la funcția de notificare push din Exchange
- Atacatorul folosește releul NTLM pentru a păcăli serverul Exchange: ca rezultat, serverul Exchange se conectează la computerul utilizatorului compromis folosind metoda NTLM prin HTTP, pe care atacatorul o folosește apoi pentru a se autentifica la controlerul de domeniu prin LDAP cu acreditările contului Exchange.
- Atacatorul ajunge să folosească aceste acreditări ale contului Exchange pentru a-și escalada propriile privilegii. Acest ultim pas poate fi efectuat și de un administrator ostil care are deja acces legitim pentru a face modificarea necesară a permisiunii. Prin crearea unei reguli pentru a detecta această activitate, veți fi protejat de acest atac și de atacuri similare.
Ulterior, un atacator ar putea, de exemplu, să ruleze DCSync pentru a obține parolele hashing ale tuturor utilizatorilor din domeniu. Acest lucru îi va permite să implementeze diferite tipuri de atacuri - de la atacuri cu bilet de aur până la transmisie hash.
Echipa de cercetare Varonis a studiat în detaliu acest vector de atac și a pregătit un ghid pentru ca clienții noștri să-l detecteze și, în același timp, să verifice dacă au fost deja compromisi.
Detectarea creșterii privilegiilor de domeniu
В
- Specificați numele regulii
- Setați categoria la „Elevare de privilegii”
- Setați tipul de resursă la „Toate tipurile de resurse”
- File Server = DirectoryServices
- Specificați domeniul de care sunteți interesat, de exemplu, după nume
- Adăugați un filtru pentru a adăuga permisiuni pentru un obiect AD
- Și nu uitați să lăsați neselectată opțiunea „Căutare în obiecte copil”.
Și acum raportul: detectarea modificărilor drepturilor asupra unui obiect de domeniu
Modificările la permisiunile pentru un obiect AD sunt destul de rare, așa că orice a declanșat acest avertisment ar trebui și ar trebui să fie investigat. De asemenea, ar fi o idee bună să testați aspectul și conținutul raportului înainte de a lansa regula în sine în luptă.
Acest raport va arăta și dacă ați fost deja compromis de acest atac:
Odată ce regula este activată, puteți investiga toate celelalte evenimente de escaladare a privilegiilor folosind interfața web DatAlert:
Odată ce configurați această regulă, puteți monitoriza și proteja împotriva acestor și a altor tipuri similare de vulnerabilități de securitate, puteți investiga evenimentele cu obiecte de servicii de director AD și puteți verifica dacă sunteți vulnerabil la această vulnerabilitate critică.
Sursa: www.habr.com