关于利用Exchange攻击域管理员权限的一些建议

Microsoft Exchange 2013及之后版本存在一个漏洞(CVE-2018-8581),利用该漏洞可以接管域内任何人的邮箱,甚至获取域管权限。

如何利用Microsoft Exchange

由于这个漏洞的出现,攻击者利用Exchange Web服务API的一个名为“PushSubscriptionRequest”的函数,该函数可以使Exchange服务器连接到任意网站。然后,攻击者将通过NTLM身份验证中继到Exchange服务器,或者直接中继到域控制器。因为Exchange Windows权限组可以访问域对象,所以他们可以从Exchange获得权限。如果LDAP服务器签名未启用,则中继的NTLM凭证将在LDAP会话中使用,如果攻击者希望利用CVE-2017-8563(windows提权漏洞),则在LDAP会话中使用LDAPS。在LDAP/S会话中,攻击者可以获得域复制权限,稍后将使用这些权限启动DCSync攻击并危及域中的所有帐户。

由于大多数组织依赖Microsoft Exchange 2013和更新的版本进行日常业务,因此潜在的黑客攻击的影响应该会持续很长一段时间。有了窃取管理权限和访问域控制器的能力,攻击者就可以渗透到域控制器所服务的所有服务器、工作站、用户和应用程序。有了权限访问权限,它们基本上可以对Active Directory管理的所有系统和帐户进行任何类型的更改,从而破坏整个网络。

缓解措施

虽然Dirk-jan Mollema(此漏洞的发现者)的研究为防范利用Microsoft Exchange漏洞的NTLM中继攻击提供了很好的方法,但他在研究中却忽略了一个关键点。他鼓励用户“启用LDAP签名,并和LDAP通道绑定,以防止分别转发到LDAP和LDAPS”。虽然在理论上,这是一种正确的方法,但考虑到当前使用的企业软件部署种类繁多且不支持LDAP通道绑定,这种方法并不总是可行的。

所以,每个组织实际上都应该采取积极的、持久的战略来阻止这类型的威胁。这些策略不仅可以保护你免受Microsoft Exchange当前的漏洞攻击,还可以保护你免受其他许多利用NTLM身份验证的攻击。

1.仅启用LDAP签名和通道绑定是不够的,这种攻击非常有效的原因之一是,默认情况下LDAP不受NTLM中继保护。事实上,2017年发现的CVE-2017-8563证明,这种方法几乎不可能保护LDAPS。此外,配置LDAP签名非常困难,因为一些软件包不支持安全配置。如果你想知道你的网络是否安全,不受LDAPS上的NTLM中继的影响,你可以运行免费的Preempt Inspector应用程序来查找。

2.监控网络流量并限制NTLM,我们已经写了很多关于NTLM相关风险的文章。NTLM的本质就是增加了NTLM中继的风险,因为它非常难以缓解,并自带密码破解的风险。虽然NTLM在大多数网络中不能完全删除,但应该尽可能地减少和限制它。Preempt Platform提供了对身份验证协议活动(NTLM、DCE/RCP、LDAP和Kerberos)活动和异常的完全可见性和分析能力,还提供了应用动态策略阻止NTLM活动的能力。Preempt可以帮助组织在控制协议使用方面发挥主动作用,降低凭据转发和密码破解以及其他基于凭证的攻击(如Pass-the-Hash和Golden Ticket)的风险,Preempt现在是唯一一家实时处理NTLM协议解密以进行威胁检测和实时预防的公司。

3.跟踪域管理权限,攻击之所以能够实现的另一个关键是,在许多场景中,:Exchange服务器被授予域根对象的特殊权限。在Preempt Platform,我们把这样的帐户称为Stealthy Admins(隐形管理员)。隐形管理员是由授予用户的各种权限(委托、复制权限等)创建的。Preempt Platform可以分析网络中的所有帐户,并向管理员发出任何与所有隐形管理员帐户相关的警报。

4.持续监控DCSync,最后的攻击是由执行DCSync攻击的用户完成的,因为他们具有进行域复制的权限。Preempt通过检测权限访问凭证的滥用和防止关键用户信息的数据泄露,帮助用户阻止DCSync攻击。

部署了Preempt的用户会一直受到NTLM中继攻击的保护,Preempt Platform能够检测LDAP上的攻击,允许用户防止恶意使用特权凭据来访问域控制器。通过采用这种方法,将不会有任何秘密管理员破坏用户的Active Directory管理的系统和帐户。

Preempt行为防火墙可以将每个用户、账户、网络设备予以实时的安全评分,并对威胁进行适度的响应。它可以学习每个用户和设备的正常行为基线,在尝试、权限提升、攻击行为的蛛丝马迹中发现异常的用户、恶意的内部用户和攻击者。

用户行为分析(UEBA)近年来发展速度很快,一些UEBA厂商凭借检测能力上的优势,正在改变现有的网络安全格局,比如Preempt公司,它标榜自己是“业界首个行为防火墙”。

转载:http://www.4hou.com/web/16218.html

为您推荐

发表评论

电子邮件地址不会被公开。 必填项已用*标注

12 − 8 =