🥇Exchange-sårbarhet: hur man upptäcker privilegieeskalering till domänadministratör

Upptäckt i år sårbarhet i Exchange låter vilken domänanvändare som helst få domänadministratörsrättigheter och kompromettera Active Directory (AD) och andra anslutna värdar. Idag ska vi berätta hur den här attacken fungerar och hur man upptäcker den.

Så här fungerar den här attacken:

Angriparen tar över kontot för alla domänanvändare med en aktiv postlåda för att prenumerera på Exchange push-meddelandefunktionen.
Angriparen använder NTLM-relä för att lura Exchange-servern: Exchange-servern ansluter så småningom till den komprometterade användarens dator med NTLM via HTTP, vilket angriparen sedan använder för att autentisera mot domänkontrollanten via LDAP med Exchange-kontots inloggningsuppgifter.
I slutändan använder angriparen dessa Exchange-kontobehörigheter för att eskalera sina privilegier. Detta sista steg kan också utföras av en fientlig administratör som redan har legitim åtkomst för att göra den nödvändiga behörighetsändringen. Genom att skapa en regel för att upptäcka denna aktivitet kommer du att skyddas från denna och liknande attacker.

Angriparen kan sedan till exempel köra DCSync för att hämta hashade lösenord för alla domänanvändare. Detta gör det möjligt för dem att utföra olika typer av attacker, från golden ticket-attacker till hashpassing.

Varonis forskarteam har studerat denna attackvektor i detalj och utarbetat vägledning för våra kunder för att upptäcka den och samtidigt verifiera om de redan har blivit komprometterade.

Detektering av eskalering av domänprivilegier

В DataAlert Skapa en anpassad regel för att övervaka ändringar av specifika objektbehörigheter. Den utlöses när rättigheter och behörigheter läggs till för objektet av intresse i domänen:

Ange regelnamnet
Ställ in kategorin som "Privilegieupptrappning"
Ställ in värdet för resurstypen till "Alla resurstyper"
Filserver = Katalogtjänster
Ange domänen du är intresserad av, till exempel med namn
Lägg till ett filter för att lägga till behörigheter på ett AD-objekt
Och glöm inte att lämna alternativet "Sök i underobjekt" avmarkerat.

Och nu rapporten: Detektering av ändring av rättigheter på ett domänobjekt

Ändringar av AD-objektbehörigheter är ganska sällsynta, så allt som utlöste denna varning bör och måste undersökas. Det vore också en bra idé att testa rapportens utseende och innehåll innan du distribuerar själva regeln.

Den här rapporten visar också om du redan har blivit utsatt för den här attacken:

När regeln är aktiverad kan du undersöka alla andra händelser för privilegieeskalering med hjälp av DatAlert-webbgränssnittet:

När du har konfigurerat den här regeln kan du övervaka och skydda mot dessa och liknande typer av säkerhetsproblem, undersöka händelser med AD Directory Services-objekt och kontrollera om du är exponerad för den här kritiska sårbarheten.

Källa: will.com

Exchange-sårbarhet: Hur man upptäcker höjning av behörighet till domänadministratör

Detektering av eskalering av domänprivilegier

Och nu rapporten: Detektering av ändring av rättigheter på ett domänobjekt