Bu yıl keşfedildi herhangi bir etki alanı kullanıcısının etki alanı yöneticisi hakları kazanmasına ve Active Directory (AD) ve diğer bağlı ana bilgisayarların güvenliğini tehlikeye atmasına olanak tanır. Bugün sizlere bu saldırının nasıl çalıştığını ve nasıl tespit edileceğini anlatacağız.
Bu saldırı şu şekilde işliyor:
- Saldırgan, Exchange'in anlık bildirim özelliğine abone olmak için etkin posta kutusu olan herhangi bir etki alanı kullanıcısının hesabını ele geçirir.
- Saldırgan, Exchange sunucusunu kandırmak için NTLM geçişini kullanır: Sonuç olarak, Exchange sunucusu, güvenliği ihlal edilmiş kullanıcının bilgisayarına HTTP üzerinden NTLM yöntemini kullanarak bağlanır ve daha sonra saldırgan, Exchange hesabı kimlik bilgileriyle LDAP aracılığıyla etki alanı denetleyicisinde kimlik doğrulaması yapmak için kullanır.
- Saldırgan, ayrıcalıklarını yükseltmek için bu Exchange hesabı kimlik bilgilerini kullanır. Bu son adım, gerekli izin değişikliğini yapmak için zaten meşru erişime sahip olan düşmanca bir yönetici tarafından da gerçekleştirilebilir. Bu aktiviteyi tespit etmek için kural oluşturarak bu ve benzeri saldırılardan korunmuş olursunuz.
Daha sonra bir saldırgan, örneğin etki alanındaki tüm kullanıcıların karma parolalarını elde etmek için DCSync'i çalıştırabilir. Bu, altın bilet saldırılarından karma aktarımına kadar çeşitli türde saldırılar gerçekleştirmesine olanak tanıyacak.
Varonis araştırma ekibi bu saldırı vektörünü ayrıntılı olarak inceledi ve müşterilerimizin bunu tespit etmesi ve aynı zamanda zaten tehlikeye atılıp atılmadığını kontrol etmesi için bir rehber hazırladı.
Etki Alanı Ayrıcalığı Yükseltme Tespiti
В Bir nesnedeki belirli izinlerde yapılan değişiklikleri izlemek için özel bir kural oluşturun. Etki alanındaki ilgilenilen bir nesneye haklar ve izinler eklenirken tetiklenecektir:
- Kural adını belirtin
- Kategoriyi "Ayrıcalık Yükselişi" olarak ayarlayın
- Kaynak türünü "Tüm kaynak türleri" olarak ayarlayın
- Dosya Sunucusu = Dizin Hizmetleri
- İlgilendiğiniz alan adını örneğin ada göre belirtin
- AD nesnesine izin eklemek için filtre ekleme
- Ve "Alt nesnelerde ara" seçeneğini seçmeden bırakmayı unutmayın.
Ve şimdi rapor: bir etki alanı nesnesine ilişkin haklardaki değişikliklerin tespiti
Bir AD nesnesindeki izinlerde yapılan değişiklikler oldukça nadirdir, bu nedenle bu uyarıyı tetikleyen her şey araştırılmalı ve araştırılmalıdır. Kuralın kendisini savaşa sokmadan önce raporun görünümünü ve içeriğini test etmek de iyi bir fikir olacaktır.
Bu rapor aynı zamanda bu saldırıya maruz kalıp kalmadığınızı da gösterecektir:
Kural etkinleştirildikten sonra, DatAlert web arayüzünü kullanarak diğer tüm ayrıcalık yükseltme olaylarını inceleyebilirsiniz:
Bu kuralı yapılandırdıktan sonra, bu ve benzeri türdeki güvenlik açıklarını izleyebilir ve bunlara karşı koruma sağlayabilir, AD dizin hizmetleri nesneleriyle olayları araştırabilir ve bu kritik güvenlik açığından etkilenip etkilenmediğinizi belirleyebilirsiniz.
Kaynak: habr.com
