ค้นพบในปีนี้
- ผู้โจมตีเข้าควบคุมบัญชีของผู้ใช้โดเมนที่มีกล่องจดหมายที่ใช้งานอยู่เพื่อสมัครรับคุณลักษณะการแจ้งเตือนแบบพุชจาก Exchange
- ผู้โจมตีใช้การถ่ายทอด NTLM เพื่อหลอกลวงเซิร์ฟเวอร์ Exchange ด้วยเหตุนี้เซิร์ฟเวอร์ Exchange จึงเชื่อมต่อกับคอมพิวเตอร์ของผู้ใช้ที่ถูกบุกรุกโดยใช้วิธี NTLM ผ่าน HTTP ซึ่งผู้โจมตีจะใช้ในการตรวจสอบสิทธิ์กับตัวควบคุมโดเมนผ่าน LDAP ด้วยข้อมูลรับรองบัญชี Exchange
- ผู้โจมตีลงเอยด้วยการใช้ข้อมูลรับรองบัญชี Exchange เหล่านี้เพื่อเพิ่มสิทธิพิเศษ ขั้นตอนสุดท้ายนี้สามารถทำได้โดยผู้ดูแลระบบที่ไม่เป็นมิตรซึ่งมีสิทธิ์การเข้าถึงที่ถูกต้องเพื่อทำการเปลี่ยนแปลงสิทธิ์ที่จำเป็น ด้วยการสร้างกฎเพื่อตรวจจับกิจกรรมนี้ คุณจะได้รับการปกป้องจากการโจมตีนี้และการโจมตีที่คล้ายกัน
ต่อมา ผู้โจมตีสามารถเรียกใช้ DCSync เพื่อรับรหัสผ่านที่แฮชของผู้ใช้ทั้งหมดในโดเมน เป็นต้น สิ่งนี้จะช่วยให้เขาสามารถใช้การโจมตีประเภทต่างๆ ได้ ตั้งแต่การโจมตีตั๋วทองคำไปจนถึงการส่งแฮช
ทีมวิจัยของ Varonis ได้ศึกษาเวกเตอร์การโจมตีนี้โดยละเอียดและเตรียมคำแนะนำสำหรับลูกค้าของเราในการตรวจจับและในขณะเดียวกันก็ตรวจสอบว่าพวกเขาถูกโจมตีหรือไม่
การตรวจจับการยกระดับสิทธิ์โดเมน
В
- ระบุชื่อกฎ
- ตั้งค่าหมวดหมู่เป็น "การยกระดับสิทธิพิเศษ"
- ตั้งค่าประเภททรัพยากรเป็น "ประเภททรัพยากรทั้งหมด"
- ไฟล์เซิร์ฟเวอร์ = DirectoryServices
- ระบุโดเมนที่คุณสนใจ เช่น ตามชื่อ
- เพิ่มตัวกรองเพื่อเพิ่มสิทธิ์ในวัตถุโฆษณา
- และอย่าลืมยกเลิกการเลือกตัวเลือก "ค้นหาในวัตถุลูก" ไว้
และตอนนี้รายงาน: การตรวจจับการเปลี่ยนแปลงสิทธิ์ในวัตถุโดเมน
การเปลี่ยนแปลงการอนุญาตบนออบเจ็กต์ AD นั้นค่อนข้างหายาก ดังนั้นสิ่งใดก็ตามที่ทำให้เกิดคำเตือนนี้ควรและควรได้รับการตรวจสอบ เป็นความคิดที่ดีที่จะทดสอบรูปลักษณ์และเนื้อหาของรายงานก่อนที่จะนำกฎนี้เข้าสู่การต่อสู้
รายงานนี้จะแสดงด้วยว่าคุณถูกโจมตีโดยการโจมตีนี้แล้ว:
เมื่อเปิดใช้งานกฎแล้ว คุณสามารถตรวจสอบเหตุการณ์การยกระดับสิทธิ์อื่นๆ ทั้งหมดได้โดยใช้อินเทอร์เฟซเว็บ DatAlert:
เมื่อคุณกำหนดค่ากฎนี้ คุณสามารถตรวจสอบและป้องกันช่องโหว่ด้านความปลอดภัยเหล่านี้และประเภทที่คล้ายกัน ตรวจสอบเหตุการณ์ด้วยออบเจ็กต์บริการไดเรกทอรี AD และพิจารณาว่าคุณมีความเสี่ยงต่อช่องโหว่ที่สำคัญนี้หรือไม่
ที่มา: will.com