今年發現的 允許任何網域使用者取得網域管理員權限並危害 Active Directory (AD) 和其他連接的主機。 今天我們將告訴您這種攻擊是如何運作的以及如何偵測它。
以下是此攻擊的工作原理:
- 攻擊者接管任何具有活動郵箱的網域使用者的帳戶,以便訂閱 Exchange 的推播通知功能
- 攻擊者使用 NTLM 中繼來欺騙 Exchange 伺服器:結果,Exchange 伺服器使用 NTLM over HTTP 方法連接到受感染使用者的計算機,然後攻擊者使用該方法透過 LDAP 使用 Exchange 帳戶憑證向網域控制器進行驗證
- 攻擊者最終使用這些 Exchange 帳戶憑證來升級其權限。 最後一步也可以由已經具有合法存取權限以進行必要的權限變更的敵對管理員執行。 透過建立規則來偵測此活動,您將免受此攻擊和類似的攻擊。
隨後,攻擊者可以執行 DCSync 來取得網域中所有使用者的雜湊密碼。 這將使他能夠實施各種類型的攻擊——從金票攻擊到哈希傳輸。
Varonis 研究團隊詳細研究了這種攻擊媒介,並為我們的客戶準備了一份指南來檢測它,同時檢查他們是否已經受到損害。
域提權檢測
В 建立自訂規則來追蹤物件特定權限的變更。 當在網域中感興趣的物件新增權利和權限時會觸發:
- 指定規則名稱
- 將類別設定為“特權提升”
- 將資源類型設定為“所有資源類型”
- 檔案伺服器=目錄服務
- 指定您感興趣的網域,例如按名稱
- 新增過濾器以新增對 AD 物件的權限
- 並且不要忘記取消選擇“在子對像中搜尋”選項。
現在的報表:偵測網域物件權限的變化
對 AD 物件的權限變更非常罕見,因此觸發此警告的任何內容都應該進行調查。 在將規則本身付諸實踐之前,測試報告的外觀和內容也是一個好主意。
此報告還將顯示您是否已受到此攻擊的危害:
啟動規則後,您可以使用 DatAlert Web 介面調查所有其他權限升級事件:
配置此規則後,您可以監視並防範這些和類似類型的安全漏洞,調查 AD 目錄服務對象的事件,並確定您是否容易受到此嚴重漏洞的影響。
來源: www.habr.com