关于应用Exchange进击域管理员权限的一些发起 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

关于应用Exchange进击域管理员权限的一些发起

申博_安全预警 申博 132次浏览 已收录 0个评论

近日,CERT谐波中心(CERT/CC)发布了漏洞警报,通知微软Exchange 2013及以后的版本都很容易被NTLM中继攻击,许可证攻击者可以利用该漏洞获取域治理权限,然后提出攻击。因此,Microsoft Exchange的体系结构现在面临着严重的数据泄漏风险。这种类型的攻击尤其令人担忧,因为它可能获得对域控制器的访问权,域控制器本质上是一个单元的守门人。这是因为域控制器包含一个包含帐户、代码、属于域的计算机等的数据库。当计算机连接到集合时,域控制器首先确定计算机是否属于该域,用户使用的登录帐户是否存在,代码是否准确。如果上述任何信息不准确,域控制器将拒绝用户访问计算机。如果不能登录,就无法访问服务器上的宝贵资本,只能以对等用户的方式访问Windows上的共享资本,所以您当然可以珍惜所收集的资本。

由于篇幅的限制,我们将在本文中简化一些攻击的细节,如果您想获得完整的技术细节,请访问原文。

进击者怎样运用Microsoft Exchange

因为这个破绽的涌现,进击者运用Exchange Web效劳API的一个名为“PushSubscriptionRequest”的函数,该函数可以或许使Exchange效劳器衔接到恣意网站。然后,进击者将经由过程NTLM身份验证中继到Exchange效劳器,或许直接中继到域掌握器。因为Exchange Windows权限组可以或许接见域工具,以是他们可以或许从Exchange取得权限。若是LDAP效劳器署名未启用,则中继的NTLM凭证将在LDAP会话中运用,若是进击者愿望运用CVE-2017-8563(windows提权破绽),则在LDAP会话中运用LDAPS。在LDAP/S会话中,进击者可以或许取得域复制权限,稍后将运用这些权限启动DCSync进击并危及域中的一切帐户。

因为大多数构造依靠Microsoft Exchange 2013和更新的版本举行一样平常营业,因而潜伏的黑客进击的影相应当会延续很长一段时间。有了盗取治理权限和接见域掌握器的才能,进击者就可以或许渗透到域掌握器所效劳的一切效劳器、工作站、用户和运用程序。有了权限接见权限,它们基本上可以或许对Active Directory治理的一切体系和帐户举行任何范例的变动,从而损坏全部收集。

减缓计谋

虽然Dirk-jan Mollema(此破绽的发明者)的研讨为提防运用Microsoft Exchange破绽的NTLM中继进击供应了很好的要领,但他在研讨中却疏忽了一个症结点。他勉励用户“启用LDAP署名,并和LDAP通道绑定,以防备离别转发到LDAP和LDAPS”。虽然在理论上,这是一种准确的要领,但考虑到以后运用的企业软件布置品种繁多且不支撑LDAP通道绑定,这类要领其实不老是可行的。

以是,每一个构造实际上都应当接纳主动的、耐久的计谋来阻挠这范例的要挟。这些计谋不只可以或许珍爱你免受Microsoft Exchange以后的破绽进击,还可以或许珍爱你免受其他许多运用NTLM身份验证的进击。

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

1.仅启用LDAP署名和通道绑定是不敷的,这类进击非常有用的缘由之一是,默许情况下LDAP不受NTLM中继珍爱。事实上,2017年发明的CVE-2017-8563证实,这类要领险些不可能珍爱LDAPS。另外,设置装备摆设LDAP署名非常难题,因为一些软件包不支撑平安设置装备摆设。若是你想晓得你的收集是不是平安,不受LDAPS上的NTLM中继的影响,你可以或许运转免费的Preempt Inspector运用程序来查找。

2.监控收集流量并限定NTLM,我们已写了许多关于NTLM相干风险的文章。NTLM的素质就是增加了NTLM中继的风险,因为它非常难以减缓,并自带暗码破解风险。虽然NTLM在大多数收集中不克不及完整删除,但应当尽量地削减和限定它。Preempt Platform供应了对身份验证协定运动(NTLM、DCE/RCP、LDAP和Kerberos)运动和非常的完整可见性和剖析才能,还供应了运用动态计谋阻挠NTLM运动的才能。Preempt可以或许资助构造在掌握协定运用方面施展主动作用,下降凭证转发和暗码破解和其他基于凭证的进击(如Pass-the-Hash和Golden Ticket)的风险,Preempt现在是独一一家及时处理NTLM协定解密以举行要挟检测和及时防备的公司。

3.跟踪域治理权限的另一个难点是,在许多场景中,Exchange服务器被授予域根工具特权。在抢占平台上,我们称这样的帐户为隐秘管理员。隐形管理员是通过授予用户多种权限(委托、复制权限等)构建的。Preempt平台可以潜在地配置集合中的任何帐户,并发出可能与任何不可见管理员帐户相关的警报。

4. 继续监控DCSync。最后一次攻击由实现DCSync攻击的用户完成,因为他们具有执行域复制的权限。Preempt通过检测凭证滥用和抢占关键用户数据泄露来资助用户抢占DCSync。

被抢占的用户会受到NTLM中继攻击的奖励。抢占平台可以检测LDAP上的传入攻击,并允许用户在出现恶意意图时使用特权凭证访问域控制器。通过包含这些基本内容,任何秘密管理员都不会损害用户的Active Directory治理系统和帐户。

Preempt的移动防火墙可能为每个用户、帐户和设备集合提供及时的安全评分,并对威胁保持适当的抢占响应。它可以了解每个用户和设备的一般操作基线,在无数的实验、权限提升和改进中创建不同寻常的用户、恶意的内部用户和攻击者。

近年来,用户分析(UEBA)发展迅速,一些UEBA制造商依靠检测能力占了上风,正在改变现有的收集风格,比如Preempt,它自称是“行业第一个移动防火墙”。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明关于应用Exchange进击域管理员权限的一些发起
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址