تسمح مشكلة عدم
الحصانة التي تم اكتشافها في
Exchange هذا العام لأي مستخدم مجال بالحصول على حقوق مسؤول المجال والتنازل عن Active Directory (AD) والمضيفين المتصلين الآخرين. اليوم سوف نخبرك بكيفية عمل هذا الهجوم وكيفية اكتشافه.
إليك كيفية عمل هذا الهجوم:- يأخذ المهاجم حساب أي مستخدم مجال لديه صندوق بريد نشط من أجل الاشتراك في وظيفة إعلام الدفع من Exchange
- يستخدم المهاجم ترحيل NTLM لخداع خادم Exchange: في النهاية ، يتصل خادم Exchange بجهاز الكمبيوتر الخاص بالمستخدم المخترق باستخدام NTLM عبر أسلوب HTTP ، والذي يستخدمه المهاجم للمصادقة على وحدة تحكم المجال باستخدام LDAP بمعلومات حساب Exchange
- نتيجة لذلك ، يستخدم المهاجم امتيازات حساب Exchange هذه لرفع امتيازاته. يمكن أيضًا تنفيذ هذه الخطوة الأخيرة من قِبل مسؤول معاد يتمتع بالفعل بوصول شرعي لإجراء التغيير اللازم في الحقوق. من خلال إنشاء قاعدة للكشف عن هذا النشاط ، ستتم حمايتك من هذا الهجوم والهجمات المماثلة.
بعد ذلك ، يمكن للمهاجم ، على سبيل المثال ، تشغيل DCSync للحصول على كلمات مرور مجزأة لجميع المستخدمين في مجال ما. هذا سيسمح له بتنفيذ أنواع مختلفة من الهجمات - من الهجمات على التذكرة الذهبية إلى نقل التجزئة.
قام فريق بحث Varonis بدراسة متجه الهجوم بالتفصيل وأعد دليلًا لعملائنا لاكتشافه وفي الوقت نفسه تحقق مما إذا كان قد تم اختراقه بالفعل.
الكشف عن تصعيد امتياز المجال
في
DatAlert ، قم بإنشاء قاعدة مخصصة لتتبع التغييرات على أذونات كائن معين. ستعمل عند إضافة الحقوق والأذونات إلى كائن الاهتمام في المجال:
- حدد اسم القاعدة
- قم بتعيين الفئة كـ "تصعيد الامتياز"
- عيّن القيمة لنوع المورد إلى جميع أنواع الموارد
- خادم الملفات = خدمات الدليل
- عيّن المجال الذي تهتم به ، على سبيل المثال ، حسب الاسم
- إضافة عامل تصفية لإضافة أذونات على كائن م
- ولا تنس أن تترك خيار "البحث في الكائنات التابعة" دون تحديد
والآن التقرير: اكتشاف حقوق كائن المجال
يعد تغيير الأذونات على كائن AD حدثًا نادرًا ، لذا يجب التحقيق في أي شيء تسبب في هذا التحذير. سيكون من الجيد أيضًا اختبار مظهر التقرير ومحتوياته قبل إطلاق القاعدة نفسها في المعركة.
سيُظهر هذا التقرير أيضًا ما إذا كنت قد تعرضت للاختراق بالفعل بهذا الهجوم:
بعد تنشيط القاعدة ، يمكنك التحقيق في جميع أحداث تصعيد الامتياز الأخرى باستخدام واجهة الويب DatAlert:
بعد تكوين هذه القاعدة ، يمكنك مراقبة وحماية هذه الأنواع وغيرها من الثغرات الأمنية المشابهة ، والتحقيق في الأحداث باستخدام كائنات خدمة الدليل AD ، والتحقق من تعرضك لهذه الثغرة الأمنية الحرجة.