Bu yil kashf etilgan har qanday domen foydalanuvchisiga domen administratori huquqlarini olish va Active Directory (AD) va boshqa ulangan xostlarni buzish imkonini beradi. Bugun biz sizga ushbu hujum qanday ishlashini va uni qanday aniqlashni aytib beramiz.
Bu hujum qanday ishlaydi:
- Buzg'unchi Exchange-dan push-bildirishnoma xususiyatiga obuna bo'lish uchun faol pochta qutisi bo'lgan har qanday domen foydalanuvchisining hisobini egallab oladi.
- Buzg'unchi Exchange serverini aldash uchun NTLM relayidan foydalanadi: natijada Exchange serveri buzilgan foydalanuvchining kompyuteriga HTTP orqali NTLM usulidan foydalanib ulanadi, keyin tajovuzkor Exchange hisob ma'lumotlari bilan LDAP orqali domen boshqaruvchisiga autentifikatsiya qilish uchun foydalanadi.
- Buzg'unchi o'z imtiyozlarini oshirish uchun ushbu Exchange hisob ma'lumotlaridan foydalanadi. Ushbu oxirgi qadam zarur ruxsatni o'zgartirish uchun qonuniy ruxsatga ega bo'lgan dushman administrator tomonidan ham amalga oshirilishi mumkin. Ushbu faoliyatni aniqlash uchun qoida yaratish orqali siz ushbu va shunga o'xshash hujumlardan himoyalanasiz.
Keyinchalik, tajovuzkor, masalan, domendagi barcha foydalanuvchilarning xeshlangan parollarini olish uchun DCSync dasturini ishga tushirishi mumkin. Bu unga turli xil hujumlarni amalga oshirish imkonini beradi - oltin chipta hujumlaridan tortib to xeshni uzatishgacha.
Varonis tadqiqot guruhi ushbu hujum vektorini batafsil o'rganib chiqdi va mijozlarimiz uchun uni aniqlash va shu bilan birga ular allaqachon buzilgan yoki yo'qligini tekshirish uchun qo'llanma tayyorladi.
Domen imtiyozlarining kuchayishini aniqlash
Π Ob'ektdagi muayyan ruxsatlarga kiritilgan o'zgarishlarni kuzatish uchun maxsus qoida yarating. U domenga qiziqish ob'ektiga huquq va ruxsatlarni qo'shganda ishga tushadi:
- Qoida nomini belgilang
- Turkumni "Imtiyozni oshirish" ga o'rnating
- Resurs turini "Barcha resurs turlari" ga o'rnating
- Fayl serveri = DirectoryServices
- Sizni qiziqtirgan domenni, masalan, nomi bilan belgilang
- AD obyektiga ruxsatlar qoβshish uchun filtr qoβshing
- Va "Bola ob'ektlarda qidirish" opsiyasini tanlanmagan holda qoldirishni unutmang.
Va endi hisobot: domen ob'ektiga bo'lgan huquqlardagi o'zgarishlarni aniqlash
AD ob'ektidagi ruxsatlarga o'zgartirishlar juda kam uchraydi, shuning uchun bu ogohlantirishni qo'zg'atgan har qanday narsa tekshirilishi kerak va tekshirilishi kerak. Shuningdek, qoidani jangga kirishdan oldin hisobotning ko'rinishi va mazmunini sinab ko'rish yaxshi fikr bo'lar edi.
Shuningdek, ushbu hisobot sizga ushbu hujum tomonidan xavf solinganmi yoki yo'qligini ham ko'rsatadi:
Qoida faollashtirilgandan so'ng, DatAlert veb-interfeysi yordamida boshqa barcha imtiyozlarni oshirish hodisalarini tekshirishingiz mumkin:
Ushbu qoidani sozlaganingizdan so'ng, siz ushbu va shunga o'xshash turdagi xavfsizlik zaifliklarini kuzatishingiz va himoya qilishingiz, AD katalog xizmatlari ob'ektlari bilan hodisalarni tekshirishingiz va ushbu muhim zaiflikka moyilligingizni aniqlashingiz mumkin.
Manba: www.habr.com