Odkrit letos omogoča kateremu koli uporabniku domene, da pridobi pravice skrbnika domene in ogrozi Active Directory (AD) in druge povezane gostitelje. Danes vam bomo povedali, kako deluje ta napad in kako ga odkriti.
Tako deluje ta napad:
- Napadalec prevzame račun katerega koli uporabnika domene z aktivnim nabiralnikom, da se naroči na funkcijo potisnih obvestil iz Exchangea
- Napadalec uporabi rele NTLM, da pretenta strežnik Exchange: posledično se strežnik Exchange poveže z računalnikom ogroženega uporabnika z metodo NTLM prek HTTP, ki jo napadalec nato uporabi za preverjanje pristnosti krmilnika domene prek LDAP s poverilnicami računa Exchange
- Napadalec na koncu uporabi te poverilnice računa Exchange za povečanje svojih privilegijev. Ta zadnji korak lahko izvede tudi sovražni skrbnik, ki že ima zakonit dostop za spremembo potrebnih dovoljenj. Če ustvarite pravilo za zaznavanje te dejavnosti, boste zaščiteni pred tem in podobnimi napadi.
Nato lahko napadalec na primer zažene DCSync, da pridobi zgoščena gesla vseh uporabnikov v domeni. To mu bo omogočilo izvajanje različnih vrst napadov - od napadov z zlatimi vstopnicami do prenosa zgoščencev.
Raziskovalna skupina Varonis je podrobno proučila ta vektor napada in pripravila vodnik za naše stranke, da ga odkrijejo in hkrati preverijo, ali so že ogroženi.
Zaznavanje stopnjevanja privilegijev domene
В Ustvarite pravilo po meri za sledenje spremembam določenih dovoljenj za predmet. Sprožilo se bo pri dodajanju pravic in dovoljenj predmetu zanimanja v domeni:
- Določite ime pravila
- Nastavite kategorijo na "Dvig privilegijev"
- Nastavite vrsto vira na "Vse vrste vira"
- Datotečni strežnik = DirectoryServices
- Določite domeno, ki vas zanima, na primer z imenom
- Dodajte filter, da dodate dovoljenja za objekt AD
- In ne pozabite pustiti neizbrane možnosti »Iskanje v podrejenih predmetih«.
In zdaj poročilo: zaznavanje sprememb pravic do domenskega objekta
Spremembe dovoljenj za objekt AD so precej redke, zato je treba vse, kar je sprožilo to opozorilo, raziskati. Prav tako bi bilo dobro preizkusiti videz in vsebino poročila, preden samo pravilo sprožimo v boj.
To poročilo bo pokazalo tudi, ali ste že bili ogroženi zaradi tega napada:
Ko je pravilo aktivirano, lahko s spletnim vmesnikom DatAlert raziščete vse druge dogodke stopnjevanja privilegijev:
Ko konfigurirate to pravilo, lahko spremljate in se zaščitite pred temi in podobnimi vrstami varnostnih ranljivosti, raziskujete dogodke z objekti imeniških storitev AD in preverjate, ali ste ranljivi za to kritično ranljivost.
Vir: www.habr.com