Kerentanan Exchange: Kumaha carana ngadeteksi élévasi Hak Istimewa pikeun Administrator Domain

Kapanggih taun ieu kerentanan dina Exchange ngamungkinkeun sagala pamaké domain meunang hak administrator domain jeung kompromi Active Directory (AD) jeung host disambungkeun séjén. Dinten ieu kami bakal nyarioskeun ka anjeun kumaha serangan ieu jalan sareng cara ngadeteksina.

Ieu kumaha serangan ieu jalanna:

1. Panyerang nyandak akun pangguna domain anu nganggo kotak surat aktip pikeun ngalanggan fitur bewara push ti Exchange
2. Panyerang ngagunakeun relay NTLM pikeun nipu pangladén Exchange: salaku hasilna, pangladén Exchange nyambung ka komputer pangguna anu dikompromi nganggo metodeu NTLM liwat HTTP, anu teras dianggo ku panyerang pikeun nga-auténtikasi ka kontroler domain ngalangkungan LDAP sareng kredensial akun Exchange.
3. Panyerang tungtungna nganggo kredensial akun Exchange ieu pikeun ningkatkeun hak istimewana. Léngkah terakhir ieu ogé tiasa dilakukeun ku pangurus anu mumusuhan anu parantos ngagaduhan aksés anu sah pikeun ngarobih idin anu diperyogikeun. Ku nyiptakeun aturan pikeun ngadeteksi kagiatan ieu, anjeun bakal ditangtayungan tina serangan ieu sareng anu sami.

Salajengna, panyerang tiasa, contona, ngajalankeun DCSync pikeun kéngingkeun kecap konci anu hashed sadaya pangguna dina domain éta. Ieu bakal ngidinan anjeunna pikeun nerapkeun rupa-rupa serangan - ti serangan tikét emas nepi ka transmisi hash.

Tim panaliti Varonis parantos ngulik véktor serangan ieu sacara rinci sareng nyiapkeun pituduh pikeun konsumén urang pikeun ngadeteksi éta sareng dina waktos anu sami pariksa naha aranjeunna parantos dikompromi.

Deteksi Escalation Hak Istimewa Domain

В DataAlert Jieun aturan custom pikeun ngalacak parobahan idin husus dina hiji obyék. Éta bakal dipicu nalika nambihan hak sareng idin ka objék anu dipikaresep dina domain:

1. Sebutkeun ngaran aturan
2. Setel kategori ka "Elevation of Privilege"
3. Setel jinis sumberdaya ka "Sadaya jinis sumberdaya"
4. File Server = DirectoryServices
5. Sebutkeun domain anu anjeun pikahoyong, contona, ku nami
6. Tambihkeun saringan pikeun nambihan idin dina obyék AD
7. Sarta ulah poho ninggalkeun "Milarian dina objék anak" pilihan unselected.

Sareng ayeuna laporan: deteksi parobahan hak kana objék domain

Parobahan idin dina hiji objek AD rada langka, jadi naon bae anu dipicu peringatan ieu kudu jeung kudu ditalungtik. Éta ogé mangrupakeun ide nu sae pikeun nguji penampilan jeung eusi laporan saméméh launching aturan sorangan kana perang.

Laporan ieu ogé bakal nunjukkeun upami anjeun parantos dikompromi ku serangan ieu:

Saatos aturan diaktipkeun, anjeun tiasa nalungtik sadaya kajadian eskalasi hak husus anu sanés nganggo antarmuka wéb DatAlert:

Sakali anjeun ngonpigurasikeun aturan ieu, anjeun tiasa ngawas sareng ngajagi ngalawan ieu sareng jinis kerentanan kaamanan anu sami, nalungtik kajadian sareng objék jasa diréktori AD, sareng nangtukeun naha anjeun rentan kana kerentanan kritis ieu.

sumber: www.habr.com