Microsoft: Tu je návod, ako brániť Windows proti týmto novým útokom na eskaláciu privilégií

Microsoft podrobne popísal, ako sa môžu zákazníci Windows brániť pred automatizovanými útokmi „Kerberos Relay“, ktoré môžu útočníkovi poskytnúť systémové privilégiá na počítači so systémom Windows.

Microsoft zareagoval na aprílové vydanie KrbRelayUp, nástroja, ktorý zefektívňuje niekoľko predchádzajúcich verejných nástrojov na eskaláciu privilégií od nízkoprivilegovaných Používateľ domény Windows k používateľovi domény s vysokými právami pripojením neautorizovaných zariadení k Active Directory (AD), lokálnej autentifikácii a identite spoločnosti Microsoft služby.

Nástroje sa spoliehajú na obmedzené delegovanie založené na zdrojoch (RBCD), čo je legitímna metóda v systéme Windows, ktorá umožňuje útočníkovi "vydať sa za správcu a prípadne spustiť kód ako SYSTÉMOVÝ účet napadnutého zariadenia", podľa Microsoft.

POZRITE SI: Microsoft varuje: Tento botnet má nové triky na zacielenie na systémy Linux a Windows

Systém je najvyššia úroveň privilégií v prostrediach Windows. Overovací protokol Kerberos je hlavným rámcom pre lokálny Active Directory (AD), službu identity spoločnosti Microsoft.

Kerberos je nástupcom Microsoftu NT Lan Manager (NTLM) protokol a bol implementovaný v systéme Windows 2000 a novších. Kerberos umožňuje správcom implementovať jednotné prihlásenie (SSO), aby používatelia nemuseli opakovane zadávať heslá. Kerberos používa službu udeľovania lístkov alebo centrum distribúcie kľúčov na správu autentifikácie.

Mor Davidovich, pero-tester, ktorý vydal KrbRelayUp, hovorí, že jeho nástroj využíva „univerzálnu eskaláciu lokálnych privilégií bez opravy v prostrediach domény Windows, kde nie je vynucované podpisovanie LDAP“.

Protokol LDAP používa AD na vyhľadávanie a prístup k informáciám o adresári. Problém s LDAP je, že štandardne nepoužíva podpisovanie na bezpečnú komunikáciu medzi LDAP klienti a radiče domény, vďaka čomu je zraniteľný voči útokom na prenos poverení NTLM a Kerberos. Preto v roku 2019 Microsoft vydala pokyny na povolenie podpisovania LDAP, ale správcovia nemôžu opraviť tento problém a iba nakonfigurovať LDAP na jeho zmiernenie.

Microsoft objasnil, že KrbRelayUp nemožno použiť pri útokoch v organizáciách, ktoré čisto využívajú Azure Active Directory (AD), cloudovú verziu svojej služby identity. Ale zákazníci, ktorí využívajú hybridné prostredia identity – kde sú lokálne radiče domény AD synchronizované s Azure AD – sú zraniteľní.

„Ak útočník kompromituje virtuálny počítač Azure pomocou synchronizovaného účtu, získa na virtuálnom počítači privilégiá SYSTEM,“ poznamenáva Microsoft.

Metóda RBCD využíva niekoľko legitímnych autentifikačných schopností, ktoré sa vyvinuli tak, ako AD potrebovala na podporu používateľov s viacerými zariadeniami a účtami s delegovaným prístupom.

POZRITE SI: Práve včas? Šéfovia sa konečne prebúdzajú do hrozby kybernetickej bezpečnosti

Vedúci môže napríklad udeliť podriadenému oprávnenie odosielať a prijímať e-maily v jeho mene bez zdieľania hesla správcu. Pôvodne to mohli s msDS-AllowedToDelegateTo robiť iba správcovia domény, ale ako sa organizácie rozširovali a nároky na delegovanie rástli, Microsoft zaviedol delegovanie „založené na zdrojoch“.

„V organizácii s niekoľkými súborovými servermi, ktoré všetky dôverujú webovému serveru na delegovanie, by to musel správca zmeňte prioritu msDS-AllowedToDelegateTo na všetkých rôznych súborových serveroch, aby ste zaviedli druhý web server. Pri delegovaní na základe prostriedkov sa zoznam dôveryhodných počítačov uchováva na prijímacom konci. V našom príklade by teda len novovytvorený server vyžadoval zmenu nastavení,“ vysvetľuje Microsoft.

KrbRelayUp sa spolieha aj na ms-DS-MachineAccountQuota atribút, prítomný vo všetkých používateľských AD objektoch. V predvolenom nastavení je táto hodnota nastavená na 10, čo umožňuje každému používateľovi v AD vytvoriť až 10 priradených počítačových účtov, takže používateľ môže používať viacero zariadení v sieti.

„Ak však napadnutý používateľ nemá k svojmu účtu priradených 10 skutočných zariadení, útočník môže vytvoriť účet pre neexistujúce zariadenie, ktoré bude objektom v Active Directory. Tento falošný počítačový účet nie je spojený so skutočným zariadením, ale môže vykonávať požiadavky na overenie služby Active Directory, ako keby bol." 

Microsoft vo svojom blogovom príspevku uviedol podrobné kroky na zmiernenie.