பரிமாற்ற பாதிப்பு: டொமைன் நிர்வாகிக்கான சிறப்புரிமையின் உயர்வை எவ்வாறு கண்டறிவது

இந்த ஆண்டு கண்டுபிடிக்கப்பட்டது பரிமாற்றத்தில் பாதிப்பு எந்தவொரு டொமைன் பயனரையும் டொமைன் நிர்வாகி உரிமைகளைப் பெறவும், ஆக்டிவ் டைரக்டரி (AD) மற்றும் பிற இணைக்கப்பட்ட ஹோஸ்ட்களை சமரசம் செய்யவும் அனுமதிக்கிறது. இந்த தாக்குதல் எவ்வாறு செயல்படுகிறது மற்றும் அதை எவ்வாறு கண்டறிவது என்பதை இன்று நாங்கள் உங்களுக்கு கூறுவோம்.

இந்த தாக்குதல் எவ்வாறு செயல்படுகிறது என்பது இங்கே:

1. எக்சேஞ்சிலிருந்து புஷ் அறிவிப்பு அம்சத்திற்கு குழுசேர, செயலில் உள்ள அஞ்சல்பெட்டியுடன் எந்த டொமைன் பயனரின் கணக்கையும் தாக்குபவர் எடுத்துக்கொள்கிறார்.
2. எக்சேஞ்ச் சர்வரை ஏமாற்ற தாக்குபவர் NTLM ரிலேவைப் பயன்படுத்துகிறார்: இதன் விளைவாக, எக்ஸ்சேஞ்ச் சர்வர் NTLM வழியாக HTTP முறையைப் பயன்படுத்தி சமரசம் செய்யப்பட்ட பயனரின் கணினியுடன் இணைக்கிறது, அதைத் தாக்குபவர், பரிமாற்றக் கணக்குச் சான்றுகளுடன் LDAP வழியாக டொமைன் கன்ட்ரோலருக்கு அங்கீகரிக்கப் பயன்படுத்துகிறார்.
3. தாக்குபவர்கள் தங்கள் சிறப்புரிமைகளை அதிகரிக்க இந்த Exchange கணக்கு நற்சான்றிதழ்களைப் பயன்படுத்துகின்றனர். தேவையான அனுமதியை மாற்றுவதற்கு ஏற்கனவே முறையான அணுகலைக் கொண்ட ஒரு விரோதமான நிர்வாகியால் இந்தக் கடைசிப் படியையும் செய்ய முடியும். இந்தச் செயல்பாட்டைக் கண்டறிவதற்கான விதியை உருவாக்குவதன் மூலம், இது போன்ற தாக்குதல்களில் இருந்து நீங்கள் பாதுகாக்கப்படுவீர்கள்.

பின்னர், தாக்குபவர், எடுத்துக்காட்டாக, டொமைனில் உள்ள அனைத்து பயனர்களின் ஹாஷ் கடவுச்சொற்களைப் பெற DCSync ஐ இயக்கலாம். கோல்டன் டிக்கெட் தாக்குதல்கள் முதல் ஹாஷ் டிரான்ஸ்மிஷன் வரை பல்வேறு வகையான தாக்குதல்களைச் செயல்படுத்த இது அவரை அனுமதிக்கும்.

Varonis ஆராய்ச்சிக் குழு இந்த தாக்குதல் திசையன் பற்றி விரிவாக ஆய்வு செய்து, எங்கள் வாடிக்கையாளர்களுக்கு அதைக் கண்டறிய வழிகாட்டியைத் தயாரித்துள்ளது, அதே நேரத்தில் அவர்கள் ஏற்கனவே சமரசம் செய்யப்பட்டுள்ளதா என்பதைச் சரிபார்க்கவும்.

டொமைன் சிறப்புரிமை அதிகரிப்பு கண்டறிதல்

В டேட்டாஅலர்ட் ஒரு பொருளின் குறிப்பிட்ட அனுமதிகளில் மாற்றங்களைக் கண்காணிக்க தனிப்பயன் விதியை உருவாக்கவும். டொமைனில் ஆர்வமுள்ள பொருளுக்கு உரிமைகள் மற்றும் அனுமதிகளைச் சேர்க்கும்போது இது தூண்டப்படும்:

1. விதியின் பெயரைக் குறிப்பிடவும்
2. வகையை "சிறப்பு உயர்வு" என அமைக்கவும்
3. ஆதார வகையை "அனைத்து ஆதார வகைகளுக்கும்" அமைக்கவும்
4. கோப்பு சேவையகம் = அடைவு சேவைகள்
5. நீங்கள் விரும்பும் டொமைனைக் குறிப்பிடவும், எடுத்துக்காட்டாக, பெயரால்
6. AD பொருளில் அனுமதிகளைச் சேர்க்க வடிப்பானைச் சேர்க்கவும்
7. மேலும் "குழந்தைப் பொருட்களில் தேடு" விருப்பத்தைத் தேர்ந்தெடுக்காமல் விட்டுவிட மறக்காதீர்கள்.

இப்போது அறிக்கை: டொமைன் பொருளுக்கான உரிமைகளில் ஏற்படும் மாற்றங்களைக் கண்டறிதல்

AD பொருளின் அனுமதிகளில் மாற்றங்கள் மிகவும் அரிதானவை, எனவே இந்த எச்சரிக்கையைத் தூண்டும் எதையும் விசாரிக்க வேண்டும் மற்றும் விசாரிக்கப்பட வேண்டும். விதியை போரில் தொடங்குவதற்கு முன் அறிக்கையின் தோற்றத்தையும் உள்ளடக்கத்தையும் சோதிப்பது நல்லது.

இந்த தாக்குதலால் நீங்கள் ஏற்கனவே சமரசம் செய்துள்ளீர்களா என்பதையும் இந்த அறிக்கை காண்பிக்கும்:

விதி செயல்படுத்தப்பட்டதும், DatAlert இணைய இடைமுகத்தைப் பயன்படுத்தி மற்ற அனைத்து சிறப்புரிமை அதிகரிப்பு நிகழ்வுகளையும் நீங்கள் ஆராயலாம்:

இந்த விதியை நீங்கள் கட்டமைத்தவுடன், இவற்றையும் இது போன்ற பாதுகாப்புப் பாதிப்புகளிலிருந்தும் நீங்கள் கண்காணிக்கலாம் மற்றும் பாதுகாக்கலாம், AD கோப்பக சேவைப் பொருள்களைக் கொண்டு நிகழ்வுகளை விசாரிக்கலாம், மேலும் இந்த முக்கியமான பாதிப்புக்கு நீங்கள் எளிதில் பாதிக்கப்படுகிறீர்களா என்பதைத் தீர்மானிக்கலாம்.

ஆதாரம்: www.habr.com