Sicherheitslücke im Exchange: So erkennen Sie eine Eskalation von Domain-Admin-Berechtigungen

Researcher haben kürzlich eine Schwachstelle in Exchange entdeckt, die es jedem Domänenbenutzer ermöglicht, sich Domain-Administratorberechtigungen zu verschaffen, mit denen er AD und verbundene Hosts gefährden kann.
Adrien Rahmati-Georges
1 minute gelesen
Letzte aktualisierung 28. Oktober 2021

Researcher haben kürzlich eine Schwachstelle in Exchange entdeckt, die es jedem Domänenbenutzer ermöglicht, sich Domain-Administratorberechtigungen zu verschaffen, mit denen er AD und verbundene Hosts gefährden kann.

Und so funktioniert der Angriff:

  • Der Angreifer verwendet einen kompromittierten Domänenbenutzer mit E-Mail-Zugang, um die Exchange Push-Benachrichtigungsfunktion zu abonnieren
  • Der Angreifer verwendet ein NTLM-Relay, um sich als Exchange-Server auszugeben:
  • Der Exchange-Server authentifiziert sich beim Host des kompromittierten Benutzers mit NTLM über HTTP, womit sich der Angreifer über LDAP mit den Anmeldeinformationen des Exchange-Kontos am Domänen-Controller authentifiziert.
  • Der Angreifer verwendet dann die Berechtigungen des Exchange-Kontos, um dann die Berechtigungen für das Domain-Objekt* zu ändern.

Der Angreifer kann so das DCSync ausführen, um sich darüber Passwort-Hashes aller Domänenbenutzer zu verschaffen – womit er verschiedene Arten von Angriffen ausführen kann – von Golden-Ticket-Angriffen bis zu eine Pass-the-Hash.

Das Varonis Research-Team hat für unsere Kunden einen Leitfaden erstellt, mit dessen Hilfe sie solche Arten von Angriffen erkennen können – und ob sie bereits kompromittiert sind.

Das müssen Sie jetzt wissen.

* Dieser letzte Schritt könnte auch von einem böswilligen Administrator vorgenommen werden, der legitimen Zugriff zum Durchführen von Berechtigungsänderung hat: Durch die Erstellung einer Regel, die diese Aktivität erkennt, können Sie sich auf jeden Fall schützen.

So entdecken Sie eine Eskalation der Domain-Berechtigungen:

Erstellen Sie in DatAlert eine benutzerdefinierte Regel zur Überwachung bestimmter Berechtigungsänderungen für ein Objekt – diese wird ausgelöst, wenn eine Objektberechtigung für einen Verzeichnisdienst einem Domain-Objekt hinzugefügt wird.

  1. Regelnamen festlegen
  2. Benachrichtigungskategorie auf „Berechtigungseskalation“ stellen
  3. Ressourcentyp auf „alle ausgewählten Werte“ stellen
  4. Das betroffene Objekt definieren:
  5. Dateiserver = Verzeichnisdienste
  6. Domain-Objekt auswählen
  7. Filter für DS-Objektberechtigung erstellen hinzugefügt

ex3

Ausführen des Berichts: So erkennen Sie Berechtigungsänderungen am Domain-Objekt

Berechtigungsänderungen am Domain-Objekt sollten nicht häufig vorkommen. Alles, was diese Warnung auslöst, sollte untersucht werden. Denken Sie daran, dass dies nur ein Kontrollkästchen vor der Benachrichtigung bei jeder Änderung einer DS-Berechtigungen entfernt ist (lassen Sie unbedingt das Häkchen bei „Suche in untergeordneten Objekten“ weg!) – generieren Sie also einen Bericht, um die Benachrichtigung zu überprüfen, bevor Sie die Regel endgültig einführen.

Sie können in diesem Bericht erkennen, ob Sie bereits durch diesen Angriff kompromittiert wurden.

escalation

Sobald die Regel implementiert ist, können Sie diese Art der Berechtigungseskalation über die Web-Benutzeroberfläche untersuchen:

investigate

Sobald diese Regel eingerichtet ist, können Sie diese Art von Sicherheitsschwachstellen überwachen und sich gegen sie schützen, Ereignisse in Bezug auf Verzeichnisdienstobjekte untersuchen und überprüfen, ob Sie von dieser Schwachstelle betroffen waren oder nicht.

Lesen Sie auch das Microsoft Sicherheitsupdate – und wenden Sie sich an Ihren Sicherheitsbeaftragten, wenn Sie Fragen haben.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

sicherheit-in-ipv6:-gibt-es-bei-ihnen-einen-toten-winkel?
Sicherheit in IPv6: Gibt es bei Ihnen einen toten Winkel?
Das ist Ihr ultimativer IPv6-Sicherheitsleitfaden, komplett mit Vergleich zu IPv4, Best Practices und Erklärungen zu häufigen Missverständnissen.
ist-diese-sid-schon-vergeben? varonis-threat-labs-entdeckt-injektionsangriff-mit-synthetischen-sids
Ist diese SID schon vergeben? Varonis Threat Labs entdeckt Injektionsangriff mit synthetischen SIDs
Eine Technik, bei der Bedrohungsakteure mit bereits bestehenden hohen Berechtigungen synthetische SIDs in eine ACL einfügen, um so Backdoors und versteckte Berechtigungen zu schaffen.
kerberos-angriffe:-wie-lassen-sich-golden-tickets-stoppen?
Kerberos-Angriffe: Wie lassen sich Golden Tickets stoppen?
Der Golden Ticket-Angriff, den der Sicherheitsforscher Benjamin Delpy entdeckt hat, verschafft dem Angreifer umfassenden und vollständigen Zugriff auf Ihre gesamte Domain. Es entspricht einer goldenen Eintrittskarte (genau wie bei Willy...
acht-ereignisse,-die-die-cybersecurity-verändert-haben
Acht Ereignisse, die die Cybersecurity verändert haben
„Wer sich nicht an die Vergangenheit erinnern kann, ist dazu verdammt, sie zu wiederholen.“ – George Santayana „I‘m the creeper: Catch me if you can“ – so freundlich und harmlos...