Windowsドメイン環境での権限昇格を検出する

サイバーセキュリティ研究者は、MicrosoftのWindows Active Directory (AD) において、アクティブユーザーが 管理者特権なしでドメインに機器を追加できる セキュリティホールを明らかにしました。これにより、特権昇格攻撃のリスクにさらされる可能性があります。 デフォルト設定によれば、ADユーザーはドメインに最大10台のワークステーションを追加できます。

この KrbRelayUpツールを使用すると、LDAP署名がデフォルト設定で強制されていないWindowsドメイン環境における普遍的な修正不可能なローカル特権昇格が可能になります。敵対者は、攻撃を実行するためにドメインに参加したホストでコードを実行するだけで済みます。セキュリティ研究者は、この欠陥がランサムウェアのオペレーターによって広範に利用され、感染を進めると予想しています。利用方法は非常に原始的です。

KrbRelayUpの動作に基づく特権昇格攻撃の検出

AD環境での潜在的な特権昇格攻撃を検出するために、SOC Primeのプラットフォームで利用可能な選別されたSigmaベースのルールをダウンロードすることができます。検出コンテンツにアクセスするには、プラットフォームにサインアップまたはログインしてください。

KrbRelayUpツールによる可能性のあるローカル特権昇格（監査経由）

このSigmaルールは、Microsoft Sentinel、Humio、Elastic Stack、Chronicle Security、LimaCharlie、ArcSight、QRadar、Splunk、Devo、Graylog、Sumo Logic、LogPoint、Regex Grep、RSA NetWitness、FireEye、Apache Kafka ksqlDB、Securonix、AWS OpenSearchを含む18のSIEMおよびXDRソリューションに翻訳されています。

上記の検出は、MITRE ATT&CK®フレームワークv.10に準拠しており、防御回避と資格情報アクセスの戦術に対応し、対応する

権限昇格制御メカニズムの悪用（T1548）およびKerberosチケットの窃取または偽造（T1558）技法に対応しています。

可能性のあるコンピュータ乗っ取り攻撃（監査経由）

このSigmaルールは、Microsoft Sentinel、Humio、Elastic Stack、Chronicle Security、LimaCharlie、ArcSight、QRadar、Splunk、Devo、Graylog、Sumo Logic、LogPoint、Regex Grep、RSA NetWitness、FireEye、Apache Kafka ksqlDB、Securonix、およびMicrosoft PowerShellを含む18のSIEMおよびXDRソリューションに翻訳されています。

上記の検出は、MITRE ATT&CK®フレームワークv.10に準拠しており、防御回避と横移動の戦術に対応し、対応する代替認証材料の使用（T1550）およびリモートサービス（T1021）技法に対応しています。

協力的な専門知識に貢献しようとするサイバーセキュリティの専門家は、SOC PrimeのThreat Bounty Programの力を結集して、世界中のコミュニティがそのサイバー防御能力を強化するのを助けています。Threat Bountyクラウドソーシングイニシアティブに参加申請して、検出コンテンツをSOC PrimeのDetection as Codeプラットフォームに貢献し、より安全なサイバー未来を作りながら参入することができます。

検出を見る Threat Bountyに参加する

緩和策

この潜在的に危険なセキュリティ問題への注目が増す中、認証されたユーザーが自分のデバイスをドメインに参加させる能力のリスクを再認識させます。これらの危険は、デフォルトの設定を変更して、デフォルトドメインコントローラーポリシーから認証されたユーザーを削除することで軽減できるかもしれません。あるいは、「ドメインへのワークステーション追加」設定を定義するための新しいセキュアポリシーを導入することも考えられます。KrbRelayUp脆弱性の緩和策についての詳細は、最新の Mor Davidovich による GitHubインプット

最近の研究で見つけることができます。 SOC PrimeのDetection as Codeプラットフォーム を探って、攻撃者より一歩先に進むために組織のサイバー防御能力を強化するための厳選された、コンテキストを豊富にした脅威検出コンテンツにアクセスしてください。