ఎక్స్ఛేంజ్ దుర్బలత్వం: డొమైన్ అడ్మినిస్ట్రేటర్‌కు ప్రత్యేక హక్కును ఎలా గుర్తించాలి

ఈ సంవత్సరం కనుగొనబడింది మార్పిడిలో దుర్బలత్వం డొమైన్ అడ్మినిస్ట్రేటర్ హక్కులను పొందడానికి మరియు యాక్టివ్ డైరెక్టరీ (AD) మరియు ఇతర కనెక్ట్ చేయబడిన హోస్ట్‌లను రాజీ చేసుకోవడానికి ఏదైనా డొమైన్ వినియోగదారుని అనుమతిస్తుంది. ఈ దాడి ఎలా పని చేస్తుందో మరియు దానిని ఎలా గుర్తించాలో ఈ రోజు మేము మీకు తెలియజేస్తాము.

ఈ దాడి ఎలా పని చేస్తుందో ఇక్కడ ఉంది:

1. ఎక్సేంజ్ నుండి పుష్ నోటిఫికేషన్ ఫీచర్‌కు సబ్‌స్క్రయిబ్ చేయడానికి యాక్టివ్ మెయిల్‌బాక్స్‌ని కలిగి ఉన్న ఏదైనా డొమైన్ వినియోగదారు ఖాతాను దాడి చేసే వ్యక్తి స్వాధీనం చేసుకుంటాడు
2. దాడి చేసే వ్యక్తి ఎక్స్ఛేంజ్ సర్వర్‌ను మోసగించడానికి NTLM రిలేని ఉపయోగిస్తాడు: ఫలితంగా, ఎక్స్ఛేంజ్ సర్వర్ NTLM ద్వారా HTTP పద్ధతిని ఉపయోగించి రాజీపడిన వినియోగదారు కంప్యూటర్‌కు కనెక్ట్ చేస్తుంది, దాడి చేసే వ్యక్తి దానిని ఎక్స్ఛేంజ్ ఖాతా ఆధారాలతో LDAP ద్వారా డొమైన్ కంట్రోలర్‌కు ప్రామాణీకరించడానికి ఉపయోగిస్తాడు.
3. దాడి చేసేవారు తమ అధికారాలను పెంచుకోవడానికి ఈ ఎక్స్ఛేంజ్ ఖాతా ఆధారాలను ఉపయోగించడం ముగించారు. అవసరమైన అనుమతిని మార్చడానికి ఇప్పటికే చట్టబద్ధమైన ప్రాప్యతను కలిగి ఉన్న శత్రు నిర్వాహకుడు కూడా ఈ చివరి దశను నిర్వహించవచ్చు. ఈ కార్యకలాపాన్ని గుర్తించడానికి ఒక నియమాన్ని సృష్టించడం ద్వారా, మీరు దీని నుండి మరియు ఇలాంటి దాడుల నుండి రక్షించబడతారు.

తదనంతరం, దాడి చేసే వ్యక్తి, ఉదాహరణకు, డొమైన్‌లోని వినియోగదారులందరి హ్యాష్ చేసిన పాస్‌వర్డ్‌లను పొందేందుకు DCSyncని అమలు చేయవచ్చు. గోల్డెన్ టికెట్ దాడుల నుండి హాష్ ప్రసారం వరకు - ఇది వివిధ రకాల దాడులను అమలు చేయడానికి అతన్ని అనుమతిస్తుంది.

Varonis పరిశోధన బృందం ఈ దాడి వెక్టర్‌ను వివరంగా అధ్యయనం చేసింది మరియు మా కస్టమర్‌లు దానిని గుర్తించడానికి మరియు అదే సమయంలో వారు ఇప్పటికే రాజీ పడ్డారో లేదో తనిఖీ చేయడానికి ఒక గైడ్‌ను సిద్ధం చేసింది.

డొమైన్ ప్రివిలేజ్ ఎస్కలేషన్ డిటెక్షన్

В డేటాఅలర్ట్ వస్తువుపై నిర్దిష్ట అనుమతులకు మార్పులను ట్రాక్ చేయడానికి అనుకూల నియమాన్ని సృష్టించండి. డొమైన్‌లో ఆసక్తి ఉన్న వస్తువుకు హక్కులు మరియు అనుమతులను జోడించేటప్పుడు ఇది ట్రిగ్గర్ చేయబడుతుంది:

1. నియమం పేరును పేర్కొనండి
2. వర్గాన్ని "ఎలివేషన్ ఆఫ్ ప్రివిలేజ్"కి సెట్ చేయండి
3. వనరుల రకాన్ని "అన్ని వనరుల రకాలు"కి సెట్ చేయండి
4. ఫైల్ సర్వర్ = డైరెక్టరీ సర్వీసెస్
5. మీకు ఆసక్తి ఉన్న డొమైన్‌ను పేర్కొనండి, ఉదాహరణకు, పేరు ద్వారా
6. AD ఆబ్జెక్ట్‌పై అనుమతులను జోడించడానికి ఫిల్టర్‌ను జోడించండి
7. మరియు "పిల్లల వస్తువులలో శోధించు" ఎంపికను ఎంపిక చేయకుండా వదిలివేయడం మర్చిపోవద్దు.

మరియు ఇప్పుడు నివేదిక: డొమైన్ ఆబ్జెక్ట్‌కు హక్కులలో మార్పులను గుర్తించడం

AD ఆబ్జెక్ట్‌పై అనుమతులకు మార్పులు చాలా అరుదు, కాబట్టి ఈ హెచ్చరికను ప్రేరేపించిన ఏదైనా పరిశోధించబడాలి. నియమాన్ని యుద్ధంలో ప్రారంభించే ముందు నివేదిక యొక్క రూపాన్ని మరియు కంటెంట్‌ను పరీక్షించడం కూడా మంచి ఆలోచన.

ఈ దాడి ద్వారా మీరు ఇప్పటికే రాజీ పడ్డారో లేదో కూడా ఈ నివేదిక చూపుతుంది:

నియమం సక్రియం చేయబడిన తర్వాత, మీరు DatAlert వెబ్ ఇంటర్‌ఫేస్‌ని ఉపయోగించి అన్ని ఇతర ప్రత్యేక అధికారాలను పెంచే ఈవెంట్‌లను పరిశోధించవచ్చు:

మీరు ఈ నియమాన్ని కాన్ఫిగర్ చేసిన తర్వాత, మీరు వీటిని మరియు ఇలాంటి రకమైన భద్రతా దుర్బలత్వాలను పర్యవేక్షించవచ్చు మరియు రక్షించవచ్చు, AD డైరెక్టరీ సేవల ఆబ్జెక్ట్‌లతో ఈవెంట్‌లను పరిశోధించవచ్చు మరియు మీరు ఈ క్లిష్టమైన దుర్బలత్వానికి లోనవుతారో లేదో నిర్ధారించవచ్చు.

మూలం: www.habr.com