Erkennen von Privilegienerweiterung in Windows-Domainumgebungen

[post-views]
April 27, 2022 · 3 min zu lesen
Erkennen von Privilegienerweiterung in Windows-Domainumgebungen

Cybersicherheitsforscher haben ein Sicherheitsloch im Microsoft Windows Active Directory (AD) aufgedeckt, das es aktiven Benutzern erlaubt, Maschinen zur Domäne hinzuzufügen sogar ohne Admin-Rechte, was die Maschine dem Risiko von Privilegien-Eskalationsangriffen aussetzt. Laut den Standardeinstellungen kann ein AD-Benutzer bis zu zehn Arbeitsstationen zur Domäne hinzufügen.

Unter Verwendung des KrbRelayUp-Tools, einer universellen No-Fix-Lokalen Privilegien-Eskalation in Windows-Domänenumgebungen, in denen LDAP-Signierung nicht gemäß den Standardeinstellungen erzwungen wird, muss ein Angreifer lediglich Code auf einem an die Domäne angeschlossenen Host ausführen, um einen Angriff durchzuführen. Sicherheitsforscher erwarten, dass diese Schwachstelle von Ransomware-Betreibern umfangreich genutzt wird, um Infektionen durchzuführen, da die Exploit-Routine eher primitiv ist.

Erkennung von Privilegien-Eskalationsangriffen basierend auf KrbRelayUp-Verhalten

Um potenzielle Privilegien-Eskalationsangriffe in AD-Umgebungen zu erkennen, können Sicherheitsexperten eine kuratierte Sigma-basierte Regel auf der SOC Prime-Plattform herunterladen. Bitte beachten Sie, dass Sie sich anmelden oder in die Plattform einloggen müssen, um auf die Erkennungsinhalte zuzugreifen:

Mögliche lokale Privilegien-Eskalation über KrbRelayUp-Tool (mittels Audit)

Diese Sigma-Regel hat Übersetzungen zu 18 SIEM- und XDR-Lösungen, einschließlich Microsoft Sentinel, Humio, Elastic Stack, Chronicle Security, LimaCharlie, ArcSight, QRadar, Splunk, Devo, Graylog, Sumo Logic, LogPoint, Regex Grep, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix und AWS OpenSearch.

Die oben genannte Erkennung ist mit dem MITRE ATT&CK® Framework v.10 abgestimmt und adressiert die Taktiken der Umgehung der Verteidigung und des Credential-Zugriffs mit den entsprechenden Techniken

Missbrauch des Kontrollmechanismus zur Erhöhung der Berechtigungen (T1548) und Diebstahl oder Fälschung von Kerberos-Tickets (T1558).

Möglicher Computer-Übernahmeangriff (mittels Audit)

Diese Sigma-Regel hat Übersetzungen zu 18 SIEM- und XDR-Lösungen, einschließlich Microsoft Sentinel, Humio, Elastic Stack, Chronicle Security, LimaCharlie, ArcSight, QRadar, Splunk, Devo, Graylog, Sumo Logic, LogPoint, Regex Grep, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix und Microsoft PowerShell.

Die oben genannte Erkennung ist mit dem MITRE ATT&CK® Framework v.10 abgestimmt und adressiert die Taktiken der Umgehung der Verteidigung und der lateralen Bewegung mit den entsprechenden Techniken Verwendung alternativer Authentifizierungsmaterialien (T1550) und Remote-Dienste (T1021).

Cybersicherheitsexperten, die bereit sind, zum kollektiven Fachwissen beizutragen, schließen sich dem SOC Prime Threat Bounty Program an, um der weltweiten Gemeinschaft zu helfen, ihr Potenzial zur Cyberverteidigung zu stärken. Bewerben Sie sich für die Teilnahme an der Threat Bounty Crowdsourcing-Initiative, um Ihre Erkennungsinhalte zur Detection as Code-Plattform von SOC Prime beizutragen und Ihre Beiträge zu monetarisieren und so zu einer sichereren Cyber-Zukunft beizutragen.                           

Erkennungen anzeigen Trete Threat Bounty bei

Abmilderung

Die zunehmende Aufmerksamkeit für dieses potenziell gefährliche Sicherheitsproblem erinnert erneut an die Risiken der Fähigkeit aller authentifizierten Benutzer, ihre Geräte zu einer Domäne hinzuzufügen. Die Gefahren könnten durch Ändern der Standardeinstellung und Entfernen von Authentifizierten Benutzern aus der Richtlinie der Standard-Domänencontroller gemildert werden. Alternativ könnte eine neue sichere Richtlinie eingeführt werden, um die Einstellung „Arbeitsstation zur Domäne hinzufügen“ zu definieren. Weitere Details zur Abmilderung der KrbRelayUp-Schwachstelle finden Sie in der neuesten Forschung von Mor Davidovich in seinem neuesten GitHub-Beitrag.

Eine proaktive Cybersicherheitsstrategie ist eine gangbare Lösung, die progressive Organisationen anstreben zu implementieren, um ihre Cyberabwehrfähigkeiten zu stärken. Entdecken Sie SOC Primes Detection as Code-Plattform um Zugriff auf kuratierte, kontextangereicherte Bedrohungserkennungsinhalte zu erhalten, um sicherzustellen, dass Ihre Organisation den Angreifern einen Schritt voraus ist.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung 2 min zu lesen SOC Prime Plattform Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung by Steven Edwards XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen 4 min zu lesen Neueste Bedrohungen XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen by Veronika Telychko CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen 4 min zu lesen Neueste Bedrohungen CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen by Veronika Telychko
Alle Nachrichten