Objavený tento rok umožňuje každému používateľovi domény získať práva správcu domény a ohroziť službu Active Directory (AD) a iných pripojených hostiteľov. Dnes vám povieme, ako tento útok funguje a ako ho odhaliť.
Tento útok funguje takto:
- Útočník prevezme účet ľubovoľného používateľa domény s aktívnou poštovou schránkou, aby sa prihlásil na odber funkcie push notifikácií zo servera Exchange
- Útočník používa prenos NTLM na oklamanie servera Exchange: v dôsledku toho sa server Exchange pripojí k počítaču napadnutého používateľa pomocou metódy NTLM cez HTTP, ktorú potom útočník použije na overenie v radiči domény cez LDAP s povereniami účtu Exchange.
- Útočník nakoniec použije tieto poverenia účtu Exchange na eskaláciu svojich privilégií. Tento posledný krok môže vykonať aj nepriateľský správca, ktorý už má legitímny prístup na vykonanie potrebnej zmeny povolenia. Vytvorením pravidla na detekciu tejto aktivity budete chránení pred týmto a podobnými útokmi.
Následne by útočník mohol napríklad spustiť DCSync, aby získal hashované heslá všetkých používateľov v doméne. To mu umožní realizovať rôzne typy útokov – od útokov so zlatým lístkom až po prenos hash.
Výskumný tím Varonis podrobne študoval tento vektor útoku a pripravil pre našich zákazníkov návod, ako ho odhaliť a zároveň skontrolovať, či už nebol napadnutý.
Detekcia eskalácie privilégií domény
В Vytvorte vlastné pravidlo na sledovanie zmien konkrétnych povolení na objekte. Spustí sa pri pridávaní práv a povolení k objektu záujmu v doméne:
- Zadajte názov pravidla
- Nastavte kategóriu na „Elevation of Privilege“
- Nastavte typ zdroja na "Všetky typy zdrojov"
- Súborový server = DirectoryServices
- Zadajte doménu, o ktorú máte záujem, napríklad názvom
- Pridajte filter na pridanie povolení k objektu AD
- A nezabudnite nechať nezaškrtnutú možnosť „Hľadať v podradených objektoch“.
A teraz správa: detekcia zmien práv na objekt domény
Zmeny povolení na objekte AD sú pomerne zriedkavé, takže všetko, čo spustilo toto varovanie, by sa malo a malo by sa preskúmať. Pred spustením samotného pravidla do boja by tiež bolo dobré otestovať vzhľad a obsah správy.
Táto správa tiež ukáže, či ste už boli napadnutí týmto útokom:
Po aktivácii pravidla môžete preskúmať všetky ostatné udalosti eskalácie privilégií pomocou webového rozhrania DatAlert:
Po nakonfigurovaní tohto pravidla môžete monitorovať a chrániť sa pred týmito a podobnými typmi bezpečnostných zraniteľností, skúmať udalosti s objektmi adresárových služieb AD a určiť, či ste náchylní na túto kritickú zraniteľnosť.
Zdroj: hab.com