Được phát hiện trong năm nay cho phép bất kỳ người dùng miền nào có được quyền quản trị viên miền và xâm phạm Active Directory (AD) cũng như các máy chủ được kết nối khác. Hôm nay chúng tôi sẽ cho bạn biết cách thức hoạt động của cuộc tấn công này và cách phát hiện nó.
Đây là cách cuộc tấn công này hoạt động:
- Kẻ tấn công chiếm đoạt tài khoản của bất kỳ người dùng miền nào có hộp thư đang hoạt động để đăng ký tính năng thông báo đẩy từ Exchange
- Kẻ tấn công sử dụng chuyển tiếp NTLM để lừa máy chủ Exchange: kết quả là máy chủ Exchange kết nối với máy tính của người dùng bị xâm nhập bằng phương thức NTLM qua HTTP, sau đó kẻ tấn công sử dụng phương thức này để xác thực với bộ điều khiển miền thông qua LDAP bằng thông tin xác thực tài khoản Exchange
- Kẻ tấn công cuối cùng sử dụng các thông tin xác thực tài khoản Exchange này để nâng cao đặc quyền của chúng. Bước cuối cùng này cũng có thể được thực hiện bởi quản trị viên thù địch đã có quyền truy cập hợp pháp để thực hiện thay đổi quyền cần thiết. Bằng cách tạo quy tắc để phát hiện hoạt động này, bạn sẽ được bảo vệ khỏi cuộc tấn công này và các cuộc tấn công tương tự.
Sau đó, chẳng hạn, kẻ tấn công có thể chạy DCSync để lấy mật khẩu đã băm của tất cả người dùng trong miền. Điều này sẽ cho phép anh ta thực hiện nhiều loại tấn công khác nhau - từ tấn công vé vàng đến truyền băm.
Nhóm nghiên cứu Varonis đã nghiên cứu chi tiết về phương thức tấn công này và chuẩn bị hướng dẫn cho khách hàng của chúng tôi phát hiện nó, đồng thời kiểm tra xem chúng có bị xâm phạm hay không.
Phát hiện nâng cao đặc quyền tên miền
В Tạo quy tắc tùy chỉnh để theo dõi các thay đổi đối với các quyền cụ thể trên một đối tượng. Nó sẽ được kích hoạt khi thêm quyền và quyền cho một đối tượng quan tâm trong miền:
- Chỉ định tên quy tắc
- Đặt danh mục thành "Nâng cao đặc quyền"
- Đặt loại tài nguyên thành "Tất cả các loại tài nguyên"
- Máy chủ tệp = Dịch vụ thư mục
- Chỉ định tên miền bạn quan tâm, ví dụ: theo tên
- Thêm bộ lọc để thêm quyền trên đối tượng AD
- Và đừng quên bỏ chọn tùy chọn "Tìm kiếm trong các đối tượng con".
Và bây giờ là báo cáo: phát hiện các thay đổi về quyền đối với một đối tượng miền
Những thay đổi về quyền đối với đối tượng AD là khá hiếm, vì vậy bất kỳ điều gì kích hoạt cảnh báo này đều nên và cần được điều tra. Bạn cũng nên kiểm tra hình thức và nội dung của báo cáo trước khi áp dụng quy tắc này vào trận chiến.
Báo cáo này cũng sẽ hiển thị nếu bạn đã bị xâm phạm bởi cuộc tấn công này:
Sau khi quy tắc được kích hoạt, bạn có thể điều tra tất cả các sự kiện leo thang đặc quyền khác bằng giao diện web DatAlert:
Sau khi đặt cấu hình quy tắc này, bạn có thể giám sát và bảo vệ khỏi các loại lỗ hổng bảo mật này cũng như các loại lỗ hổng bảo mật tương tự, điều tra các sự kiện với các đối tượng dịch vụ thư mục AD và xác định xem bạn có dễ mắc phải lỗ hổng nghiêm trọng này hay không.
Nguồn: www.habr.com