30/05/22
Компания Microsoft опубликовала руководство для администраторов по защите корпоративных сред Windows от атак KrbRelayUp, позволяющих хакерам получать привилегии системы на Windows с заводскими настройками.
Атаки осуществляются с помощью инструмента KrbRelayUp, разработанного исследователем безопасности Мором Давидовичем (Mor Davidovich) в качестве обертки с открытым исходным кодом для инструментов Rubeus, KrbRelay, SCMUACBypass, PowerMad/SharpMad, Whisker и ADCSPwn, которые позволяют повышать привилегии на системе.
С конца апреля 2022 года, когда KrbRelayUp впервые был опубликован на GitHub, хакеры могут использовать его в своих атаках для повышения привилегий в атакуемых средах Windows с заводскими настройками (то есть, с отключенной подписью LDAP).
На этой неделе Давидович выпустил обновленную версию KrbRelayUp, которая также работает с включенной подписью LDAP и обеспечивает привилегии системы, если не включена расширенная защита аутентификации (Extended Protection for Authentication, EPA) для Active Directory Certificate Services (AD CS).
Как сообщает Microsoft, инструмент не работает в сетях организаций с облачными средами Azure Active Directory. Тем не менее, KrbRelayUp может помочь скомпрометировать виртуальные машины Azure в гибридных средах AD, где контроллеры домена синхронизированы с AD.
В четверг, 26 мая, Microsoft опубликовала руководство по защите от вышеописанных атак с использованием обертки KrbRelayUp. Однако эти меры были доступны и раньше, но только для корпоративных пользователей с подпиской на Microsoft 365 E5.
Компания рекомендует администраторам обеспечить защиту передачи данных между клиентами LDAP и контроллерами домена AD путем включения подписи LDAP для серверов и активирования EPA.
Организациям также следует рассмотреть возможность установить 0 в качестве атрибута ms-DS-MachineAccountQuota, чтобы усложнить использование атрибута в хакерских атаках. Использование 0 в качестве атрибута заблокирует пользователям без привилегий администратора возможность добавлять в домен новые устройства, и злоумышленникам придется искать более сложные способы получения подходящего ресурса.
Команда Microsoft 365 Defender Research Team представила подробности об атаке KrbRelayUp и рассказала, как усилить безопасность конфигураций устройств, здесь.
