ช่องโหว่ของ Exchange: วิธีการตรวจหาการยกระดับสิทธิ์ให้กับผู้ดูแลระบบโดเมน

ค้นพบในปีนี้ ช่องโหว่ใน Exchange อนุญาตให้ผู้ใช้โดเมนได้รับสิทธิ์ผู้ดูแลระบบโดเมนและประนีประนอม Active Directory (AD) และโฮสต์ที่เชื่อมต่ออื่น ๆ วันนี้เราจะมาบอกคุณว่าการโจมตีนี้ทำงานอย่างไรและจะตรวจจับได้อย่างไร

การโจมตีนี้ทำงานอย่างไร:

1. ผู้โจมตีเข้าควบคุมบัญชีของผู้ใช้โดเมนที่มีกล่องจดหมายที่ใช้งานอยู่เพื่อสมัครรับคุณลักษณะการแจ้งเตือนแบบพุชจาก Exchange
2. ผู้โจมตีใช้การถ่ายทอด NTLM เพื่อหลอกลวงเซิร์ฟเวอร์ Exchange ด้วยเหตุนี้เซิร์ฟเวอร์ Exchange จึงเชื่อมต่อกับคอมพิวเตอร์ของผู้ใช้ที่ถูกบุกรุกโดยใช้วิธี NTLM ผ่าน HTTP ซึ่งผู้โจมตีจะใช้ในการตรวจสอบสิทธิ์กับตัวควบคุมโดเมนผ่าน LDAP ด้วยข้อมูลรับรองบัญชี Exchange
3. ผู้โจมตีลงเอยด้วยการใช้ข้อมูลรับรองบัญชี Exchange เหล่านี้เพื่อเพิ่มสิทธิพิเศษ ขั้นตอนสุดท้ายนี้สามารถทำได้โดยผู้ดูแลระบบที่ไม่เป็นมิตรซึ่งมีสิทธิ์การเข้าถึงที่ถูกต้องเพื่อทำการเปลี่ยนแปลงสิทธิ์ที่จำเป็น ด้วยการสร้างกฎเพื่อตรวจจับกิจกรรมนี้ คุณจะได้รับการปกป้องจากการโจมตีนี้และการโจมตีที่คล้ายกัน

ต่อมา ผู้โจมตีสามารถเรียกใช้ DCSync เพื่อรับรหัสผ่านที่แฮชของผู้ใช้ทั้งหมดในโดเมน เป็นต้น สิ่งนี้จะช่วยให้เขาสามารถใช้การโจมตีประเภทต่างๆ ได้ ตั้งแต่การโจมตีตั๋วทองคำไปจนถึงการส่งแฮช

ทีมวิจัยของ Varonis ได้ศึกษาเวกเตอร์การโจมตีนี้โดยละเอียดและเตรียมคำแนะนำสำหรับลูกค้าของเราในการตรวจจับและในขณะเดียวกันก็ตรวจสอบว่าพวกเขาถูกโจมตีหรือไม่

การตรวจจับการยกระดับสิทธิ์โดเมน

В การแจ้งเตือนข้อมูล สร้างกฎแบบกำหนดเองเพื่อติดตามการเปลี่ยนแปลงสิทธิ์เฉพาะบนออบเจ็กต์ มันจะถูกทริกเกอร์เมื่อมีการเพิ่มสิทธิ์และการอนุญาตให้กับวัตถุที่น่าสนใจในโดเมน:

1. ระบุชื่อกฎ
2. ตั้งค่าหมวดหมู่เป็น "การยกระดับสิทธิพิเศษ"
3. ตั้งค่าประเภททรัพยากรเป็น "ประเภททรัพยากรทั้งหมด"
4. ไฟล์เซิร์ฟเวอร์ = DirectoryServices
5. ระบุโดเมนที่คุณสนใจ เช่น ตามชื่อ
6. เพิ่มตัวกรองเพื่อเพิ่มสิทธิ์ในวัตถุโฆษณา
7. และอย่าลืมยกเลิกการเลือกตัวเลือก "ค้นหาในวัตถุลูก" ไว้

และตอนนี้รายงาน: การตรวจจับการเปลี่ยนแปลงสิทธิ์ในวัตถุโดเมน

การเปลี่ยนแปลงการอนุญาตบนออบเจ็กต์ AD นั้นค่อนข้างหายาก ดังนั้นสิ่งใดก็ตามที่ทำให้เกิดคำเตือนนี้ควรและควรได้รับการตรวจสอบ เป็นความคิดที่ดีที่จะทดสอบรูปลักษณ์และเนื้อหาของรายงานก่อนที่จะนำกฎนี้เข้าสู่การต่อสู้

รายงานนี้จะแสดงด้วยว่าคุณถูกโจมตีโดยการโจมตีนี้แล้ว:

เมื่อเปิดใช้งานกฎแล้ว คุณสามารถตรวจสอบเหตุการณ์การยกระดับสิทธิ์อื่นๆ ทั้งหมดได้โดยใช้อินเทอร์เฟซเว็บ DatAlert:

เมื่อคุณกำหนดค่ากฎนี้ คุณสามารถตรวจสอบและป้องกันช่องโหว่ด้านความปลอดภัยเหล่านี้และประเภทที่คล้ายกัน ตรวจสอบเหตุการณ์ด้วยออบเจ็กต์บริการไดเรกทอรี AD และพิจารณาว่าคุณมีความเสี่ยงต่อช่องโหว่ที่สำคัญนี้หรือไม่

ที่มา: will.com