Microsoft Defender for Identity для обнаружения атак Windows Bronze Bit

19
Microsoft исправляет проблему аутентификации Windows 10, влияющую на удаленный рабочий стол

Microsoft работает над добавлением поддержки обнаружения атак Bronze Bit в Microsoft Defender for Identity, чтобы облегчить группам операций безопасности обнаружение попыток злоупотребления ошибкой обхода безопасности Windows Kerberos, отслеживаемой как CVE-2020-17049.

Microsoft Defender for Identity (ранее Azure Advanced Threat Protection или Azure ATP) — это облачное решение безопасности, которое использует локальные сигналы Active Directory.

Это позволяет командам SecOps обнаруживать и расследовать скомпрометированные расширенные угрозы, идентификационные данные и вредоносную инсайдерскую деятельность, нацеленную на зарегистрированные организации.

Посадка через два месяца

«Предупреждение будет срабатывать, когда есть доказательства подозрительных попыток делегирования Kerberos с использованием метода BronzeBit, когда пользователь пытался использовать билет для делегирования доступа к определенному ресурсу», — поясняет Microsoft в дорожной карте Microsoft 365.

Недостаток (исправленный Microsoft во вторник патчей в ноябре 2020 года) можно использовать в том, что обнаруживший консультант по безопасности Джейк Карнес назвал атаками Kerberos Bronze Bit.

Microsoft устранила уязвимость Bronze Bit в двухэтапном поэтапном развертывании: начальный этап развертывания — 8 декабря, а этап автоматического принудительного применения — 9 февраля.

Через месяц после того, как Microsoft выпустила исправления CVE-2020-17049, Карнес опубликовал экспериментальный код эксплойта (PoC) и полную информацию о том, как его можно использовать.

Эксплойт может обойти защиту делегирования Kerberos, позволяя злоумышленникам повышать привилегии, выдавать себя за целевых пользователей и перемещаться в пределах скомпрометированной среды.

Он поделился кратким обзором с дополнительной информацией о протоколе Kerberos, включая практические сценарии эксплойтов и подробности реализации и использования атак Kerberos Bronze Bit на уязвимые серверы.

Выпуск всех этих дополнительных деталей и эксплойта PoC, вероятно, значительно упростит взлом серверов Windows, на которых не установлено исправление CVE-2020-17049, и именно это, вероятно, побудило Редмонда добавить поддержку обнаружения Bronze Bit в Microsoft Defender for Identity.

Также доступны функции обнаружения атак PrintNightmare и Zerologon.

В июле Microsoft также добавила поддержку обнаружения эксплойтов PrintNightmare в Microsoft Defender for Identity после включения обнаружения эксплойтов Zerologon в ноябре 2020 года.

Оба являются критическими уязвимостями безопасности, при этом PrintNightmare (CVE-2021-34527) позволяет злоумышленникам захватить затронутые серверы, повышая привилегии до администратора домена, в то время как Zerologon (CVE-2020-1472) может использоваться для повышения привилегий для подделки учетной записи контроллера домена, которая приводит к полному контролю над всем доменом.

Многие злоумышленники, в том числе банды вымогателей, такие как Vice SocietyConti и Magniber, уже используют эксплойты PrintNightmare для взлома серверов Windows, на которых не установлены исправления.

Оба государственных спинки и материально мотивированные актеры угрозы также эксплуатируют системы незакрытыхов от уязвимости ZeroLogon поскольку в конце октября и в сентябре, с более вступив с тех пор, в том числе:

  • Поддерживаемая Ираном хакерская группа MuddyWater (также известная как SeedWorm и MERCURY),
  • TA505 (он же Chimborazo), известный тем, что обеспечивает канал доставки для вымогателей Clop,
  • Китайские хакеры APT10.

Также в июле Microsoft выпустила еще одно обновление Defender for Identity, которое позволяет группам операций безопасности (SecOps) блокировать попытки атак путем блокировки учетных записей Active Directory скомпрометированных пользователей.

Defender for Identity входит в состав Microsoft 365 E5, но, если у вас еще нет подписки, вы также можете получить пробную версию Security E5, чтобы испытать эти функции.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here