مٽاسٽا جي ڪمزوري: ڊومين ايڊمنسٽريٽر کي استحقاق جي بلندي کي ڪيئن معلوم ڪجي

هن سال دريافت ڪيو بدلي ۾ ڪمزوري ڪنهن به ڊومين استعمال ڪندڙ کي اجازت ڏئي ٿو ڊومين ايڊمنسٽريٽر جا حق حاصل ڪري ۽ سمجھوتو Active Directory (AD) ۽ ٻين ڳنڍيل ميزبانن کي. اڄ اسان توهان کي ٻڌائينداسين ته هي حملو ڪيئن ڪم ڪري ٿو ۽ ان کي ڪيئن معلوم ڪجي.

هتي هي حملو ڪيئن ڪم ڪري ٿو:

1. هڪ حملو ڪندڙ ڪنهن به ڊومين استعمال ڪندڙ جي اڪائونٽ تي قبضو ڪري ٿو هڪ فعال ميل باڪس سان ايڪسچينج کان پش نوٽيفڪيشن فيچر جي رڪنيت حاصل ڪرڻ لاءِ
2. حملو ڪندڙ NTLM ريلي استعمال ڪري ٿو ايڪسچينج سرور کي چال ڪرڻ لاءِ: نتيجي طور، ايڪسچينج سرور سمجھوتي ڪندڙ صارف جي ڪمپيوٽر سان ڳنڍي ٿو NTLM اوور HTTP طريقي سان، جيڪو حملو ڪندڙ پوءِ استعمال ڪري ٿو ڊومين ڪنٽرولر جي تصديق ڪرڻ لاءِ LDAP ذريعي ايڪسچينج اڪائونٽ جي سندن سان.
3. حملو ڪندڙ انهن مٽاسٽا اڪائونٽ جي سندن کي استعمال ڪندي ختم ڪري ٿو انهن جي استحقاق کي وڌائڻ لاءِ. اهو آخري قدم هڪ دشمن منتظم طرفان پڻ انجام ڏئي سگهجي ٿو جيڪو اڳ ۾ ئي ضروري اجازت تبديل ڪرڻ لاء جائز رسائي آهي. هن سرگرمي کي ڳولڻ لاء هڪ قاعدو ٺاهڻ سان، توهان کي هن ۽ ساڳئي حملن کان محفوظ ڪيو ويندو.

تنهن کان پوء، هڪ حملو ڪندڙ، مثال طور، DCSync هلائي سگهي ٿو ڊومين ۾ سڀني استعمال ڪندڙن جي هيش ٿيل پاسورڊ حاصل ڪرڻ لاء. اهو هن کي اجازت ڏيندو مختلف قسم جي حملن کي لاڳو ڪرڻ - گولڊن ٽڪيٽ حملن کان وٺي هيش ٽرانسميشن تائين.

Varonis جي تحقيقاتي ٽيم هن حملي جي ویکٹر جو تفصيلي اڀياس ڪيو آهي ۽ اسان جي گراهڪن لاءِ هڪ گائيڊ تيار ڪيو آهي ته جيئن ان جو پتو لڳايو وڃي ۽ ساڳئي وقت چيڪ ڪريو ته ڇا انهن سان اڳ ۾ ئي سمجهوتو ڪيو ويو آهي.

ڊومين استحقاق وڌائڻ جي چڪاس

В ڊيٽا الرٽ ڪنهن شئي تي مخصوص اجازتن ۾ تبديلين کي ٽريڪ ڪرڻ لاءِ ڪسٽم قاعدو ٺاهيو. اهو شروع ڪيو ويندو جڏهن ڊومين ۾ دلچسپي جي اعتراض لاء حق ۽ اجازت شامل ڪريو:

1. ضابطي جو نالو بيان ڪريو
2. درجه بندي کي "استحقاق جي بلندي" تي مقرر ڪريو
3. وسيلن جي قسم کي "سڀني وسيلن جي قسمن" تي سيٽ ڪريو
4. فائل سرور = ڊائريڪٽري خدمتون
5. ڊومين جي وضاحت ڪريو جنهن ۾ توهان دلچسپي رکو ٿا، مثال طور، نالي سان
6. AD اعتراض تي اجازتون شامل ڪرڻ لاءِ فلٽر شامل ڪريو
7. ۽ ڇڏڻ نه وساريو "ٻارن جي شين ۾ ڳولا ڪريو" اختيار غير منتخب ٿيل.

۽ ھاڻي رپورٽ: ڊومين اعتراض جي حقن ۾ تبديلين جو پتو لڳائڻ

AD اعتراض تي اجازتن ۾ تبديليون ڪافي ناياب آھن، تنھنڪري جيڪو ڪجھھ ھن ڊيڄاريندڙ کي شروع ڪيو وڃي ۽ تحقيق ٿيڻ گھرجي. اهو پڻ هڪ سٺو خيال هوندو ته رپورٽ جي ظاهري ۽ مواد کي جانچڻ کان اڳ پاڻ کي جنگ ۾ آڻڻ کان اڳ.

هي رپورٽ پڻ ڏيکاريندو ته ڇا توهان اڳ ۾ ئي هن حملي سان سمجهوتو ڪيو آهي:

هڪ دفعو قاعدو چالو ٿي ويندو آهي، توهان DatAlert ويب انٽرفيس استعمال ڪندي ٻين سڀني امتيازي واڌاري جي واقعن جي تحقيق ڪري سگهو ٿا:

هڪ دفعو توهان هن قاعدي کي ترتيب ڏيو ٿا، توهان نگراني ڪري سگهو ٿا ۽ حفاظت ڪري سگهو ٿا انهن ۽ اهڙن قسمن جي حفاظتي خطرن جي خلاف، AD ڊاريڪٽري خدمتن جي شين سان واقعن جي تحقيق ڪريو، ۽ اهو طئي ڪري سگهو ٿا ته ڇا توهان هن نازڪ خطري لاء حساس آهيو.

جو ذريعو: www.habr.com