Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Microsoft опубликовала руководство по защите корпоративных сред Windows от атак KrbRelayUp

30/05/22

Microsoft5-2Компания Microsoft опубликовала руководство для администраторов по защите корпоративных сред Windows от атак KrbRelayUp, позволяющих хакерам получать привилегии системы на Windows с заводскими настройками.

Атаки осуществляются с помощью инструмента KrbRelayUp, разработанного исследователем безопасности Мором Давидовичем (Mor Davidovich) в качестве обертки с открытым исходным кодом для инструментов Rubeus, KrbRelay, SCMUACBypass, PowerMad/SharpMad, Whisker и ADCSPwn, которые позволяют повышать привилегии на системе.

С конца апреля 2022 года, когда KrbRelayUp впервые был опубликован на GitHub, хакеры могут использовать его в своих атаках для повышения привилегий в атакуемых средах Windows с заводскими настройками (то есть, с отключенной подписью LDAP).

На этой неделе Давидович выпустил обновленную версию KrbRelayUp, которая также работает с включенной подписью LDAP и обеспечивает привилегии системы, если не включена расширенная защита аутентификации (Extended Protection for Authentication, EPA) для Active Directory Certificate Services (AD CS).

Как сообщает Microsoft, инструмент не работает в сетях организаций с облачными средами Azure Active Directory. Тем не менее, KrbRelayUp может помочь скомпрометировать виртуальные машины Azure в гибридных средах AD, где контроллеры домена синхронизированы с AD.

В четверг, 26 мая, Microsoft опубликовала руководство по защите от вышеописанных атак с использованием обертки KrbRelayUp. Однако эти меры были доступны и раньше, но только для корпоративных пользователей с подпиской на Microsoft 365 E5.

Компания рекомендует администраторам обеспечить защиту передачи данных между клиентами LDAP и контроллерами домена AD путем включения подписи LDAP для серверов и активирования EPA.

Организациям также следует рассмотреть возможность установить 0 в качестве атрибута ms-DS-MachineAccountQuota, чтобы усложнить использование атрибута в хакерских атаках. Использование 0 в качестве атрибута заблокирует пользователям без привилегий администратора возможность добавлять в домен новые устройства, и злоумышленникам придется искать более сложные способы получения подходящего ресурса.

Команда Microsoft 365 Defender Research Team представила подробности об атаке KrbRelayUp и рассказала, как усилить безопасность конфигураций устройств, здесь.

Темы:КибербезопасностьMicrosoftОтрасльинструкции
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...