Natuklasan ngayong taon nagbibigay-daan sa sinumang gumagamit ng domain na makakuha ng mga karapatan ng administrator ng domain at ikompromiso ang Active Directory (AD) at iba pang konektadong host. Ngayon sasabihin namin sa iyo kung paano gumagana ang pag-atake na ito at kung paano ito matutukoy.
Narito kung paano gumagana ang pag-atake na ito:
- Kinukuha ng isang attacker ang account ng sinumang user ng domain na may aktibong mailbox upang mag-subscribe sa feature na push notification mula sa Exchange
- Gumagamit ang attacker ng NTLM relay para linlangin ang Exchange server: bilang resulta, kumokonekta ang Exchange server sa computer ng nakompromisong user gamit ang NTLM over HTTP method, na ginagamit ng attacker para ma-authenticate sa domain controller sa pamamagitan ng LDAP gamit ang mga kredensyal ng Exchange account
- Natapos ang pag-atake sa paggamit ng mga kredensyal ng Exchange account na ito upang palakihin ang kanilang mga pribilehiyo. Ang huling hakbang na ito ay maaari ding gawin ng isang masungit na administrator na mayroon nang lehitimong access upang gawin ang kinakailangang pagbabago ng pahintulot. Sa pamamagitan ng paggawa ng panuntunan para matukoy ang aktibidad na ito, mapoprotektahan ka mula dito at sa mga katulad na pag-atake.
Kasunod nito, ang isang umaatake ay maaaring, halimbawa, magpatakbo ng DCSync upang makuha ang mga na-hash na password ng lahat ng mga user sa domain. Ito ay magpapahintulot sa kanya na magpatupad ng iba't ibang uri ng pag-atake - mula sa mga ginintuang pag-atake ng tiket hanggang sa pagpapadala ng hash.
Ang koponan ng pananaliksik ng Varonis ay pinag-aralan nang detalyado ang vector ng pag-atake na ito at naghanda ng gabay para sa aming mga customer upang matukoy ito at sa parehong oras ay suriin kung nakompromiso na sila.
Pag-detect ng Pagtaas ng Pribilehiyo ng Domain
В Gumawa ng custom na panuntunan para subaybayan ang mga pagbabago sa mga partikular na pahintulot sa isang bagay. Mati-trigger ito kapag nagdaragdag ng mga karapatan at pahintulot sa isang bagay na kinaiinteresan sa domain:
- Tukuyin ang pangalan ng panuntunan
- Itakda ang kategorya sa "Elevation of Privilege"
- Itakda ang uri ng mapagkukunan sa "Lahat ng uri ng mapagkukunan"
- File Server = Mga Serbisyong Direktoryo
- Tukuyin ang domain kung saan ka interesado, halimbawa, sa pamamagitan ng pangalan
- Magdagdag ng filter upang magdagdag ng mga pahintulot sa isang AD object
- At huwag kalimutang iwanang hindi napili ang opsyong "Maghanap sa mga child object."
At ngayon ang ulat: pagtuklas ng mga pagbabago sa mga karapatan sa isang domain object
Ang mga pagbabago sa mga pahintulot sa object ng AD ay medyo bihira, kaya ang anumang nag-trigger sa babalang ito ay dapat at dapat na siyasatin. Magiging magandang ideya din na subukan ang hitsura at nilalaman ng ulat bago ilunsad ang panuntunan mismo sa labanan.
Ipapakita rin ng ulat na ito kung nakompromiso ka na ng pag-atakeng ito:
Kapag na-activate na ang panuntunan, maaari mong imbestigahan ang lahat ng iba pang kaganapan sa pagdami ng pribilehiyo gamit ang web interface ng DatAlert:
Kapag na-configure mo na ang panuntunang ito, maaari mong subaybayan at protektahan laban sa mga ito at sa mga katulad na uri ng mga kahinaan sa seguridad, mag-imbestiga ng mga kaganapan sa mga object ng AD directory services, at matukoy kung ikaw ay madaling kapitan sa kritikal na kahinaan na ito.
Pinagmulan: www.habr.com
