今年发现的 允许任何域用户获得域管理员权限并危害 Active Directory (AD) 和其他连接的主机。 今天我们将告诉您这种攻击是如何运作的以及如何检测它。
以下是此攻击的工作原理:
- 攻击者接管任何具有活动邮箱的域用户的帐户,以便订阅 Exchange 的推送通知功能
- 攻击者使用 NTLM 中继来欺骗 Exchange 服务器:结果,Exchange 服务器使用 NTLM over HTTP 方法连接到受感染用户的计算机,然后攻击者使用该方法通过 LDAP 使用 Exchange 帐户凭据向域控制器进行身份验证
- 攻击者最终使用这些 Exchange 帐户凭据来升级其权限。 最后一步也可以由已经具有合法访问权限以进行必要的权限更改的敌对管理员执行。 通过创建规则来检测此活动,您将免受此攻击和类似的攻击。
随后,攻击者可以运行 DCSync 来获取域中所有用户的哈希密码。 这将使他能够实施各种类型的攻击——从金票攻击到哈希传输。
Varonis 研究团队详细研究了这种攻击媒介,并为我们的客户准备了一份指南来检测它,同时检查他们是否已经受到损害。
域提权检测
В 创建自定义规则来跟踪对象特定权限的更改。 当向域中感兴趣的对象添加权利和权限时会触发:
- 指定规则名称
- 将类别设置为“特权提升”
- 将资源类型设置为“所有资源类型”
- 文件服务器=目录服务
- 指定您感兴趣的域,例如按名称
- 添加过滤器以添加对 AD 对象的权限
- 并且不要忘记取消选择“在子对象中搜索”选项。
现在的报告:检测域对象权限的变化
对 AD 对象的权限更改非常罕见,因此触发此警告的任何内容都应该进行调查。 在将规则本身付诸实践之前,测试报告的外观和内容也是一个好主意。
此报告还将显示您是否已受到此攻击的危害:
激活规则后,您可以使用 DatAlert Web 界面调查所有其他权限升级事件:
配置此规则后,您可以监视并防范这些和类似类型的安全漏洞,调查 AD 目录服务对象的事件,并确定您是否容易受到此严重漏洞的影响。
来源: habr.com