ایکسچینج کی کمزوری: ڈومین ایڈمنسٹریٹر کے استحقاق کی بلندی کا پتہ کیسے لگایا جائے۔

اس سال دریافت ہوا۔ ایکسچینج میں کمزوری کسی بھی ڈومین صارف کو ڈومین ایڈمنسٹریٹر کے حقوق حاصل کرنے اور ایکٹو ڈائریکٹری (AD) اور دوسرے منسلک میزبانوں سے سمجھوتہ کرنے کی اجازت دیتا ہے۔ آج ہم آپ کو بتائیں گے کہ یہ حملہ کیسے کام کرتا ہے اور اس کا پتہ کیسے لگایا جائے۔

یہاں یہ ہے کہ یہ حملہ کیسے کام کرتا ہے:

1. ایکسچینج سے پش نوٹیفکیشن فیچر کو سبسکرائب کرنے کے لیے حملہ آور کسی بھی ڈومین صارف کے اکاؤنٹ پر ایک فعال میل باکس کے ساتھ قبضہ کر لیتا ہے۔
2. حملہ آور ایکسچینج سرور کو دھوکہ دینے کے لیے NTLM ریلے کا استعمال کرتا ہے: نتیجے کے طور پر، ایکسچینج سرور NTLM اوور HTTP طریقہ استعمال کرتے ہوئے سمجھوتہ کرنے والے صارف کے کمپیوٹر سے جوڑتا ہے، جسے حملہ آور پھر ایکسچینج اکاؤنٹ کی اسناد کے ساتھ LDAP کے ذریعے ڈومین کنٹرولر سے تصدیق کرنے کے لیے استعمال کرتا ہے۔
3. حملہ آور اپنی مراعات کو بڑھانے کے لیے ان ایکسچینج اکاؤنٹ کی اسناد کا استعمال کرتا ہے۔ یہ آخری مرحلہ ایک مخالف ایڈمنسٹریٹر بھی انجام دے سکتا ہے جس کے پاس پہلے سے ہی ضروری اجازت کی تبدیلی کے لیے جائز رسائی ہے۔ اس سرگرمی کا پتہ لگانے کے لیے ایک اصول بنا کر، آپ اس اور اس جیسے حملوں سے محفوظ رہیں گے۔

اس کے بعد، ایک حملہ آور، مثال کے طور پر، ڈومین میں موجود تمام صارفین کے ہیشڈ پاس ورڈز حاصل کرنے کے لیے DCSync چلا سکتا ہے۔ یہ اسے مختلف قسم کے حملوں کو لاگو کرنے کی اجازت دے گا - گولڈن ٹکٹ کے حملوں سے لے کر ہیش ٹرانسمیشن تک۔

Varonis ریسرچ ٹیم نے اس حملے کے ویکٹر کا تفصیل سے مطالعہ کیا ہے اور ہمارے صارفین کے لیے اس کا پتہ لگانے کے لیے ایک گائیڈ تیار کیا ہے اور ساتھ ہی یہ بھی چیک کیا ہے کہ آیا ان سے پہلے ہی سمجھوتہ ہو چکا ہے۔

ڈومین کے استحقاق میں اضافے کا پتہ لگانا

В ڈیٹا الرٹ کسی چیز پر مخصوص اجازتوں میں ہونے والی تبدیلیوں کو ٹریک کرنے کے لیے ایک حسب ضرورت اصول بنائیں۔ ڈومین میں دلچسپی کے کسی شے کے حقوق اور اجازتیں شامل کرنے پر اسے متحرک کیا جائے گا:

1. اصول کا نام بتائیں
2. زمرہ کو "استحقاق کی بلندی" پر سیٹ کریں
3. وسائل کی قسم کو "تمام وسائل کی اقسام" پر سیٹ کریں
4. فائل سرور = ڈائریکٹری خدمات
5. اس ڈومین کی وضاحت کریں جس میں آپ کی دلچسپی ہے، مثال کے طور پر، نام سے
6. AD آبجیکٹ پر اجازتیں شامل کرنے کے لیے فلٹر شامل کریں۔
7. اور "چائلڈ آبجیکٹ میں تلاش کریں" کے آپشن کو غیر منتخب چھوڑنا نہ بھولیں۔

اور اب رپورٹ: ڈومین آبجیکٹ کے حقوق میں تبدیلیوں کا پتہ لگانا

AD آبجیکٹ پر اجازتوں میں تبدیلیاں کافی نایاب ہیں، لہذا جو بھی چیز اس انتباہ کو متحرک کرتی ہے اس کی چھان بین ہونی چاہیے اور ہونی چاہیے۔ یہ بھی اچھا خیال ہوگا کہ قاعدے کو جنگ میں لانے سے پہلے رپورٹ کی ظاہری شکل اور مواد کو جانچ لیا جائے۔

یہ رپورٹ یہ بھی دکھائے گی کہ کیا آپ پہلے ہی اس حملے سے سمجھوتہ کر چکے ہیں:

ایک بار جب قاعدہ فعال ہو جاتا ہے، تو آپ DatAlert ویب انٹرفیس کا استعمال کرتے ہوئے دیگر تمام استحقاق میں اضافے کے واقعات کی چھان بین کر سکتے ہیں:

ایک بار جب آپ اس اصول کو ترتیب دیتے ہیں، تو آپ حفاظتی خطرات کی ان اور اسی قسم کے خطرات کے خلاف نگرانی اور حفاظت کر سکتے ہیں، AD ڈائریکٹری سروسز اشیاء کے ساتھ واقعات کی چھان بین کر سکتے ہیں، اور اس بات کا تعین کر سکتے ہیں کہ آیا آپ اس اہم خطرے کے لیے حساس ہیں۔

ماخذ: www.habr.com