Détecter l’Escalade de Privilèges dans les Environnements de Domaine Windows

[post-views]
avril 27, 2022 · 4 min de lecture
Détecter l’Escalade de Privilèges dans les Environnements de Domaine Windows

Des chercheurs en cybersécurité ont révélé une faille de sécurité dans l’Active Directory (AD) de Microsoft Windows permettant aux utilisateurs actifs de ajouter des machines au domaine même sans privilèges d’administrateur, ce qui expose la machine à des risques d’attaques d’escalade de privilèges. Selon les paramètres par défaut, un utilisateur AD peut ajouter jusqu’à dix postes de travail au domaine.

En utilisant l’outil KrbRelayUp, une escalade de privilèges locale universelle sans correctif dans les environnements de domaine Windows où la signature LDAP n’est pas appliquée selon les paramètres par défaut, un adversaire doit simplement exécuter du code sur un hôte joint au domaine pour mener une attaque. Les chercheurs en sécurité s’attendent à ce que cette faille soit largement exploitée par les opérateurs de ransomware pour procéder à des infections car la routine d’exploitation est plutôt primitive.

Détection d’attaque d’escalade de privilèges basée sur le comportement de KrbRelayUp

Pour détecter les potentielles attaques d’escalade de privilèges dans les environnements AD, les praticiens de la sécurité peuvent télécharger une règle basée sur Sigma, disponible sur la plateforme de SOC Prime. Veuillez noter que pour accéder au contenu de détection, assurez-vous de vous inscrire ou de vous connecter à la plateforme :

Possible escalade de privilèges locale via l’outil KrbRelayUp (via audit)

Cette règle Sigma a des traductions vers 18 solutions SIEM & XDR, y compris Microsoft Sentinel, Humio, Elastic Stack, Chronicle Security, LimaCharlie, ArcSight, QRadar, Splunk, Devo, Graylog, Sumo Logic, LogPoint, Regex Grep, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix, et AWS OpenSearch.

La détection mentionnée ci-dessus est alignée avec le cadre MITRE ATT&CK® v.10, abordant les tactiques d’évasion de la défense et d’accès aux informations d’identification avec les techniques correspondantes

Abus du mécanisme de contrôle d’élévation (T1548) et Voler ou falsifier des billets Kerberos (T1558).

Possible attaque de prise de contrôle d’ordinateur (via audit)

Cette règle Sigma a des traductions vers 18 solutions SIEM & XDR, y compris Microsoft Sentinel, Humio, Elastic Stack, Chronicle Security, LimaCharlie, ArcSight, QRadar, Splunk, Devo, Graylog, Sumo Logic, LogPoint, Regex Grep, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix, et Microsoft PowerShell.

La détection mentionnée ci-dessus est alignée avec le cadre MITRE ATT&CK® v.10, abordant les tactiques d’évasion de la défense et de mouvement latéral avec les techniques correspondantes Utiliser un matériel d’authentification alternatif (T1550) et Services à distance (T1021).

Les experts en cybersécurité désireux de contribuer à une expertise collaborative rejoignent les forces du Programme de prime pour menaces de SOC Prime pour aider la communauté mondiale à renforcer son potentiel de défense cybernétique. Postulez pour rejoindre l’initiative de crowdsourcing Threat Bounty pour contribuer votre contenu de détection à la plateforme Detection as Code de SOC Prime et pouvoir monétiser votre contribution tout en ajoutant à un avenir cybernétique plus sûr.

Voir les détections Rejoindre le programme Threat Bounty

Atténuation

L’attention croissante à cette question de sécurité potentiellement dangereuse rappelle une fois de plus les risques liés à la capacité de tous les utilisateurs authentifiés à connecter leurs appareils à un domaine. Les dangers peuvent être atténués en modifiant le paramètre par défaut et en supprimant les utilisateurs authentifiés de la politique des contrôleurs de domaine par défaut. Alternativement, une nouvelle politique sécurisée pourrait être introduite pour définir le paramètre « Ajouter un poste de travail au domaine ». Plus de détails sur l’atténuation de la vulnérabilité KrbRelayUp peuvent être trouvés dans les recherches les plus récentes par Mor Davidovich dans sa dernière contribution sur GitHub.

Une stratégie de cybersécurité proactive est une solution viable que les organisations progressistes s’efforcent de mettre en œuvre pour renforcer leurs capacités de défense cybernétique. Explorez la plateforme Detection as Code de SOC Prime pour accéder à un contenu de détection de menaces enrichi en contexte et assuré que votre organisation a une longueur d’avance sur les attaquants.

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande 3 min de lecture Plateforme SOC Prime Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande by Steven Edwards Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore 5 min de lecture Dernières Menaces Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore by Veronika Telychko Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes 5 min de lecture Dernières Menaces Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes by Veronika Telychko
Toutes les actualités