Rilevare l’Escalation dei Privilegi negli Ambienti di Dominio Windows

[post-views]
Aprile 27, 2022 · 4 min di lettura
Rilevare l’Escalation dei Privilegi negli Ambienti di Dominio Windows

I ricercatori di sicurezza informatica hanno rivelato una falla di sicurezza nell’Active Directory (AD) di Windows di Microsoft che permette agli utenti attivi di aggiungere macchine al dominio anche senza privilegi di amministratore, esponendo la macchina al rischio di attacchi di escalation dei privilegi. Secondo le impostazioni di default, un utente AD può aggiungere fino a dieci workstation al dominio.

Utilizzando lo strumento KrbRelayUp, un’escalation dei privilegi locali universale e senza soluzione nei domini Windows dove la firma LDAP non è applicata secondo le impostazioni di default, un avversario deve semplicemente eseguire del codice su un host connesso al dominio per eseguire un attacco. I ricercatori di sicurezza si aspettano che questo difetto sia ampiamente sfruttato dagli operatori di ransomware per procedere con le infezioni poiché la routine di sfruttamento è piuttosto primitiva.

Rilevamento degli Attacchi di Escalation dei Privilegi Basato sul Comportamento di KrbRelayUp

Per rilevare potenziali attacchi di escalation dei privilegi in ambienti AD, i professionisti della sicurezza possono scaricare una regola basata su Sigma, disponibile sulla piattaforma di SOC Prime. Si prega di notare che per accedere al contenuto di rilevamento, assicurarsi di registrarsi o effettuare il login nella piattaforma:

Possibile Escalation dei Privilegi Locale tramite Strumento KrbRelayUp (via audit)

Questa regola Sigma ha traduzioni per 18 soluzioni SIEM & XDR, tra cui Microsoft Sentinel, Humio, Elastic Stack, Chronicle Security, LimaCharlie, ArcSight, QRadar, Splunk, Devo, Graylog, Sumo Logic, LogPoint, Regex Grep, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix e AWS OpenSearch.

La rilevazione sopra indicata è allineata al framework MITRE ATT&CK® v.10 indirizzando le tattiche di Evasione della Difesa e Accesso alle Credenziali con le corrispondenti tecniche

Abuso del Meccanismo di Controllo dell’Elevazione (T1548) e Furto o Falsificazione dei Biglietti Kerberos (T1558).

Possibile Attacco di Acquisizione del Computer (via audit)

Questa regola Sigma ha traduzioni per 18 soluzioni SIEM & XDR, tra cui Microsoft Sentinel, Humio, Elastic Stack, Chronicle Security, LimaCharlie, ArcSight, QRadar, Splunk, Devo, Graylog, Sumo Logic, LogPoint, Regex Grep, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix e Microsoft PowerShell.

La rilevazione sopra indicata è allineata al framework MITRE ATT&CK® v.10 indirizzando le tattiche di Evasione della Difesa e Movimento Laterale con le corrispondenti tecniche di Uso di Materiali di Autenticazione Alternativi (T1550) e Servizi Remoti (T1021).

Gli esperti di sicurezza informatica desiderosi di contribuire alla competenza collaborativa si uniscono alle forze del SOC Prime Threat Bounty Program per aiutare la comunità mondiale a rafforzare il suo potenziale di difesa informatica. Candidati per unirti all’iniziativa di crowdsourcing Threat Bounty per contribuire con il tuo contenuto di rilevamento alla piattaforma Detection as Code di SOC Prime e poter monetizzare il tuo contributo aggiungendo a un futuro cibernetico più sicuro.                           

Visualizza Rilevamenti Unisciti a Threat Bounty

Mitigazione

L’aumentata attenzione a questo potenzialmente pericoloso problema di sicurezza ricorda nuovamente i rischi della capacità di tutti gli utenti autenticati di collegare i propri dispositivi a un dominio. I pericoli potrebbero essere mitigati modificando le impostazioni predefinite e rimuovendo gli utenti autenticati dalla Default Domain Controllers Policy. In alternativa, è possibile introdurre una nuova politica di sicurezza per definire l’impostazione “Aggiungi workstation al dominio”. Maggiori dettagli sulla mitigazione della vulnerabilità KrbRelayUp possono essere trovati nella più recente ricerca di Mor Davidovich nel suo ultimo contributo su GitHub.

Una strategia di sicurezza informatica proattiva è una soluzione valida che le organizzazioni innovative stanno cercando di implementare per rafforzare le proprie capacità di difesa informatica. Esplorare la piattaforma Detection as Code di SOC Prime per ottenere accesso a contenuti di rilevamento delle minacce curati e arricchiti di contesto per garantire che la tua organizzazione sia un passo avanti rispetto agli aggressori.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Prompt AI Personalizzati in Uncoder AI Consentono la Generazione di Rilevamenti su Richiesta 3 min di lettura Piattaforma SOC Prime Prompt AI Personalizzati in Uncoder AI Consentono la Generazione di Rilevamenti su Richiesta by Steven Edwards Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 4 min di lettura Ultime Minacce Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 by Veronika Telychko Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine 6 min di lettura Ultime Minacce Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine by Veronika Telychko
Tutte le notizie