Уразливість Exchange: як виявити підвищення привілеїв до адміністратора домену

Виявлена ​​цього року вразливість у Exchange дозволяє будь-якому користувачеві домену отримати права адміністратора домену та скомпрометувати Active Directory (AD) та інші підключені хости. Сьогодні ми розповімо, як працює ця атака та як її виявити.

Ось як працює ця атака:

1. Зловмисник заволодіває обліковим записом будь-якого доменне користувача з активною поштовою скринькою, щоб підписатися на функцію push-повідомлень від Exchange
2. Зловмисник використовує NTLM relay для обману сервера Exchange: у результаті сервер Exchange підключається на комп'ютер скомпрометованого користувача за допомогою методу NTLM over HTTP, який зловмисник потім використовує для проходження процедури автентифікації на контролері домену по LDAP з даними облікового запису Exchange
3. У результаті зловмисник використовує ці повноваження облікового запису Exchange підвищення своїх привілеїв. Цей останній крок може бути також виконаний ворожим адміністратором, який вже має легітимний доступ, щоб зробити необхідну зміну прав. Створивши правило для виявлення цієї активності, ви будете захищені від цієї та подібних атак.

Згодом зловмисник може, наприклад, запустити DCSync, щоб отримати хешовані паролі всіх користувачів домену. Це дозволить йому реалізувати різні типи атак – від атак на golden ticket до передачі хеша.

Дослідницька команда Varonis докладно вивчила цей вектор атаки та підготувала керівництво для наших клієнтів, щоб його виявити та заразом перевірити, чи були вони вже скомпрометовані.

Виявлення підвищення привілеїв у домені

В DataAlert створіть власне правило для відстеження змін певних дозволів на об'єкт. Воно буде спрацьовувати при додаванні прав і дозволів на об'єкт, що цікавить, в домені:

1. Вкажіть ім'я правила
2. Встановіть категорію як «Підвищення привілеїв»
3. Вкажіть значення для типу ресурсу «Всі типи ресурсів»
4. Файловий сервер = DirectoryServices
5. Задайте цікавий для вас домен, наприклад, на ім'я
6. Додайте фільтр для додавання дозволів на об'єкті AD
7. І не забудьте залишити невиділену опцію «Пошук у дочірніх об'єктах»

А тепер звіт: виявлення зміни прав на об'єкт домену

Зміни дозволів на об'єкт AD - досить рідкісне явище, тому все, що викликало це попередження, потрібно і слід розслідувати. Також непогано було б протестувати вигляд і вміст звіту до запуску в бій самого правила.

Цей звіт також покаже, чи були вже скомпрометовані цією атакою:

Після активації правила можна розслідувати решту подій підвищення привілеїв, використовуючи веб-інтерфейс DatAlert:

Після налаштування цього правила ви зможете відстежувати та захищатися від цих і схожих типів уразливостей системи безпеки, розслідувати події з об'єктами служб каталогів AD та перевірити, чи ви схильні до цієї критичної вразливості.

Джерело: habr.com