Dobësia e shkëmbimit: Si të zbuloni ngritjen e privilegjit ndaj administratorit të domenit

Zbuluar këtë vit dobësi në Exchange i lejon çdo përdoruesi të domenit të fitojë të drejta administratori të domenit dhe të kompromentojë Active Directory (AD) dhe host-e të tjerë të lidhur. Sot, do të shpjegojmë se si funksionon ky sulm dhe si ta zbulojmë atë.

Ja se si funksionon ky sulm:

1. Një sulmues merr përsipër llogarinë e çdo përdoruesi të domenit me një kuti postare aktive për t'u abonuar në funksionin e njoftimeve shtytëse të Exchange.
2. Sulmuesi përdor stafetën NTLM për të falsifikuar serverin Exchange: serveri Exchange përfundimisht lidhet me kompjuterin e përdoruesit të kompromentuar duke përdorur NTLM mbi HTTP, të cilin sulmuesi më pas e përdor për t'u autentifikuar në kontrolluesin e domenit nëpërmjet LDAP me kredencialet e llogarisë Exchange.
3. Në fund të fundit, sulmuesi përdor këto leje të llogarisë Exchange për të përshkallëzuar privilegjet e tij. Ky hap i fundit mund të kryhet edhe nga një administrator armiqësor i cili tashmë ka akses legjitim për të bërë ndryshimet e nevojshme të privilegjeve. Duke krijuar një rregull për të zbuluar këtë aktivitet, ju do të mbroheni nga ky dhe sulme të ngjashme.

Një sulmues mund të ekzekutojë më pas, për shembull, DCSync për të marrë fjalëkalimet e hashuara të të gjithë përdoruesve të domenit. Kjo do t'u lejonte atyre të kryenin lloje të ndryshme sulmesh, nga sulmet me biletë të artë deri te kalimi i hash-it.

Ekipi kërkimor i Varonis e ka studiuar këtë vektor sulmi në detaje dhe ka përgatitur udhëzime për klientët tanë për ta zbuluar atë dhe për të verifikuar nëse ato janë kompromentuar tashmë.

Zbulimi i Përshkallëzimit të Privilegjit të Domenit

В DataAlert Krijo një rregull të personalizuar për të monitoruar ndryshimet në lejet specifike të objekteve. Do të aktivizohet kur të drejtat dhe lejet shtohen në objektin me interes në domen:

1. Specifikoni emrin e rregullit
2. Vendos kategorinë në "Përshkallëzim i Privilegjit"
3. Vendosni llojin e burimit në "Të gjitha llojet e burimeve"
4. Serveri i Skedarëve = Shërbimet e Drejtorisë
5. Specifikoni domenin që ju intereson, për shembull, me emër
6. Shtoni një filtër për të shtuar leje në një objekt AD
7. Dhe mos harroni ta lini të pazgjedhur opsionin "Kërko në objekte fëmijë".

Dhe tani raporti: Zbulimi i ndryshimeve në lejet në një objekt domeni

Ndryshimet në lejet e objektit AD janë mjaft të rralla, kështu që çdo gjë që ka shkaktuar këtë paralajmërim duhet të hetohet. Është gjithashtu një ide e mirë të testoni pamjen dhe përmbajtjen e raportit përpara se të zbatoni vetë rregullin.

Ky raport do t'ju tregojë gjithashtu nëse jeni kompromentuar tashmë nga ky sulm:

Pasi të aktivizohet rregulli, mund të hetoni të gjitha ngjarjet e tjera të përshkallëzimit të privilegjeve duke përdorur ndërfaqen web DatAlert:

Duke konfiguruar këtë rregull, ju mund të monitoroni dhe mbroheni nga këto dhe lloje të ngjashme të dobësive të sigurisë, të hetoni ngjarjet që përfshijnë objektet e shërbimeve të drejtorisë AD dhe të verifikoni nëse jeni të ekspozuar ndaj kësaj dobësie kritike.

Burimi: www.habr.com