Imegunduliwa mwaka huu humruhusu mtumiaji yeyote wa kikoa kupata haki za msimamizi wa kikoa na kuathiri Active Directory (AD) na wapangishi wengine waliounganishwa. Leo tutakuambia jinsi shambulio hili linavyofanya kazi na jinsi ya kugundua.
Hivi ndivyo shambulio hili linavyofanya kazi:
- Mshambulizi huchukua akaunti ya mtumiaji yeyote wa kikoa na kisanduku cha barua kinachotumika ili kujiandikisha kwa kipengele cha arifa kutoka kwa programu kutoka kwa Exchange.
- Mshambulizi hutumia upeanaji wa NTLM kuhadaa seva ya Exchange: kwa sababu hiyo, seva ya Exchange inaunganisha kwenye kompyuta ya mtumiaji iliyoathiriwa kwa kutumia mbinu ya NTLM kupitia HTTP, ambayo mvamizi hutumia kuthibitisha kwa kidhibiti cha kikoa kupitia LDAP kwa kutumia vitambulisho vya akaunti ya Exchange.
- Mshambulizi huishia kutumia vitambulisho hivi vya akaunti ya Exchange ili kukuza haki zao. Hatua hii ya mwisho inaweza pia kufanywa na msimamizi hasimu ambaye tayari ana ufikiaji halali wa kufanya mabadiliko yanayohitajika ya ruhusa. Kwa kuunda sheria ya kugundua shughuli hii, utalindwa kutokana na mashambulizi haya na sawa.
Baadaye, mshambulizi anaweza, kwa mfano, kuendesha DCSync ili kupata manenosiri ya haraka ya watumiaji wote kwenye kikoa. Hii itamruhusu kutekeleza aina mbalimbali za mashambulizi - kutoka kwa mashambulizi ya tiketi ya dhahabu hadi maambukizi ya hashi.
Timu ya utafiti ya Varonis imechunguza vekta hii ya shambulio kwa undani na kuandaa mwongozo kwa wateja wetu ili kuigundua na wakati huo huo kuangalia ikiwa tayari imeathiriwa.
Utambuzi wa Kupanuka kwa Haki ya Kikoa
В Unda sheria maalum ili kufuatilia mabadiliko ya ruhusa mahususi kwenye kitu. Itaanzishwa wakati wa kuongeza haki na ruhusa kwa kitu kinachovutia katika kikoa:
- Bainisha jina la kanuni
- Weka kategoria kuwa "Kuinua Upendeleo"
- Weka aina ya rasilimali kuwa "Aina zote za rasilimali"
- Seva ya Faili = Huduma za Saraka
- Taja kikoa unachopenda, kwa mfano, kwa jina
- Ongeza kichujio ili kuongeza ruhusa kwenye kifaa cha AD
- Na usisahau kuacha chaguo la "Tafuta katika vitu vya watoto" bila kuchaguliwa.
Na sasa ripoti: kugundua mabadiliko katika haki za kitu cha kikoa
Mabadiliko ya ruhusa kwenye kifaa cha AD ni nadra sana, kwa hivyo chochote kilichosababisha onyo hili kinapaswa na kinapaswa kuchunguzwa. Pia lingekuwa wazo zuri kupima mwonekano na maudhui ya ripoti kabla ya kuzindua sheria yenyewe vitani.
Ripoti hii pia itaonyesha ikiwa tayari umeathiriwa na shambulio hili:
Mara tu sheria itakapoamilishwa, unaweza kuchunguza matukio mengine yote ya upanuzi wa fursa kwa kutumia kiolesura cha wavuti cha DatAlert:
Baada ya kusanidi sheria hii, unaweza kufuatilia na kulinda dhidi ya athari hizi na aina kama hizo za athari za kiusalama, kuchunguza matukio kwa kutumia vipengee vya huduma za saraka ya AD, na kubaini kama unaweza kuathiriwa na athari hii muhimu.
Chanzo: mapenzi.com
