Zbuluar këtë vit lejon çdo përdorues të domenit të fitojë të drejtat e administratorit të domenit dhe të komprometojë Active Directory (AD) dhe hostet e tjerë të lidhur. Sot do t'ju tregojmë se si funksionon ky sulm dhe si ta zbuloni atë.
Ja se si funksionon ky sulm:
- Një sulmues merr përsipër llogarinë e çdo përdoruesi të domenit me një kuti postare aktive në mënyrë që të abonohet në funksionin e njoftimit shtytës nga Exchange
- Sulmuesi përdor rele NTLM për të mashtruar serverin Exchange: si rezultat, serveri Exchange lidhet me kompjuterin e përdoruesit të komprometuar duke përdorur metodën NTLM mbi HTTP, të cilën sulmuesi më pas e përdor për të vërtetuar kontrolluesin e domenit nëpërmjet LDAP me kredencialet e llogarisë Exchange
- Sulmuesi përfundon duke përdorur këto kredenciale të llogarisë Exchange për të përshkallëzuar privilegjet e tyre. Ky hap i fundit mund të kryhet gjithashtu nga një administrator armiqësor i cili tashmë ka akses legjitim për të bërë ndryshimin e nevojshëm të lejes. Duke krijuar një rregull për të zbuluar këtë aktivitet, do të mbroheni nga ky dhe sulme të ngjashme.
Më pas, një sulmues mund, për shembull, të ekzekutojë DCSync për të marrë fjalëkalimet e hashuara të të gjithë përdoruesve në domen. Kjo do t'i lejojë atij të zbatojë lloje të ndryshme sulmesh - nga sulmet e biletave të arta deri te transmetimi hash.
Ekipi hulumtues i Varonis ka studiuar në detaje këtë vektor sulmi dhe ka përgatitur një udhëzues për klientët tanë për ta zbuluar atë dhe në të njëjtën kohë të kontrollojnë nëse ata tashmë janë komprometuar.
Zbulimi i përshkallëzimit të privilegjit të domenit
В Krijo një rregull të personalizuar për të gjurmuar ndryshimet në lejet specifike në një objekt. Do të aktivizohet kur shtohen të drejta dhe leje për një objekt me interes në domen:
- Specifikoni emrin e rregullit
- Cakto kategorinë në "Elevation of Privilege"
- Cakto llojin e burimit në "Të gjitha llojet e burimeve"
- File Server = DirectoryServices
- Specifikoni domenin që ju intereson, për shembull, me emër
- Shto një filtër për të shtuar lejet në një objekt AD
- Dhe mos harroni të lini të pazgjedhur opsionin "Kërko në objektet e fëmijëve".
Dhe tani raporti: zbulimi i ndryshimeve në të drejtat për një objekt domeni
Ndryshimet në lejet në një objekt AD janë mjaft të rralla, kështu që çdo gjë që ka shkaktuar këtë paralajmërim duhet dhe duhet të hetohet. Do të ishte gjithashtu një ide e mirë që të provoni pamjen dhe përmbajtjen e raportit përpara se të filloni vetë rregullin në betejë.
Ky raport do të tregojë gjithashtu nëse jeni rrezikuar tashmë nga ky sulm:
Pasi të aktivizohet rregulli, mund të hetoni të gjitha ngjarjet e tjera të përshkallëzimit të privilegjive duke përdorur ndërfaqen e internetit DatAlert:
Pasi të konfiguroni këtë rregull, mund të monitoroni dhe mbroni kundër këtyre dhe llojeve të ngjashme të dobësive të sigurisë, të hetoni ngjarjet me objektet e shërbimeve të drejtorisë AD dhe të përcaktoni nëse jeni të ndjeshëm ndaj këtij cenueshmërie kritike.
Burimi: www.habr.com