Detectar Escalação de Privilégios em Ambientes de Domínio Windows

[post-views]
Abril 27, 2022 · 4 min de leitura
Detectar Escalação de Privilégios em Ambientes de Domínio Windows

Pesquisadores de cibersegurança revelaram uma falha de segurança no Active Directory (AD) do Windows da Microsoft, permitindo que usuários ativos adicionem máquinas ao domínio mesmo sem privilégios de administrador, o que expõe a máquina ao risco de ataques de escalonamento de privilégios. De acordo com as configurações padrão, um usuário do AD pode adicionar até dez estações de trabalho ao domínio.

Usando a ferramenta KrbRelayUp, uma escalada universal de privilégio local sem correção em ambientes de domínio Windows onde a assinatura LDAP não é imposta de acordo com as configurações padrão, um adversário simplesmente precisa executar código em um host conectado ao domínio para realizar um ataque. Pesquisadores de segurança esperam que essa falha seja amplamente explorada por operadores de ransomware para prosseguir com infecções, pois a rotina de exploração é bastante primitiva.

Detecção de Ataque de Escalonamento de Privilégios Baseado no Comportamento do KrbRelayUp

Para detectar possíveis ataques de escalonamento de privilégios em ambientes AD, profissionais de segurança podem baixar uma regra baseada em Sigma disponível na plataforma da SOC Prime. Observe que para acessar o conteúdo de detecção, certifique-se de se inscrever ou fazer login na plataforma:

Possível Escalonamento Local de Privilégio via Ferramenta KrbRelayUp (via auditoria)

Esta regra Sigma tem traduções para 18 soluções SIEM & XDR, incluindo Microsoft Sentinel, Humio, Elastic Stack, Chronicle Security, LimaCharlie, ArcSight, QRadar, Splunk, Devo, Graylog, Sumo Logic, LogPoint, Regex Grep, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix e AWS OpenSearch.

A detecção acima mencionada está alinhada com o framework MITRE ATT&CK® v.10, abordando as táticas de Evasão de Defesa e Acesso a Credenciais com as técnicas correspondentes Abuse Elevation Control Mechanism (T1548) e Steal or Forge Kerberos Tickets (T1558).

Abuse Elevation Control Mechanism (T1548) and Steal or Forge Kerberos Tickets (T1558) techniques.

Possível Ataque de Tomada de Controle de Computador (via auditoria)

Esta regra Sigma tem traduções para 18 soluções SIEM & XDR, incluindo Microsoft Sentinel, Humio, Elastic Stack, Chronicle Security, LimaCharlie, ArcSight, QRadar, Splunk, Devo, Graylog, Sumo Logic, LogPoint, Regex Grep, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix e Microsoft PowerShell.

A detecção acima mencionada está alinhada com o framework MITRE ATT&CK® v.10, abordando as táticas de Evasão de Defesa e Movimento Lateral com as técnicas correspondentes de Uso de Material de Autenticação Alternativo (T1550) e Serviços Remotos (T1021).

Gurus da cibersegurança ansiosos para contribuir com expertise colaborativa juntam-se às forças do Programa de Recompensas de Ameaças da SOC Prime para ajudar a comunidade global a fortalecer seu potencial de defesa cibernética. Candidate-se para se juntar à iniciativa de crowdsourcing Threat Bounty para contribuir com seu conteúdo de detecção na plataforma Detection as Code da SOC Prime e poder monetizar sua contribuição enquanto adiciona a um futuro cibernético mais seguro.                           

Ver Detecções Junte-se ao Threat Bounty

Mitigação

A crescente atenção para este problema de segurança potencialmente perigoso lembra novamente os riscos da capacidade de todos os Usuários Autenticados de vincular seus dispositivos a um domínio. Os perigos podem ser mitigados alterando a configuração padrão e removendo Usuários Autenticados da Política de Controladores de Domínio Padrão. Alternativamente, a nova política segura pode ser introduzida para definir a configuração “Adicionar estação de trabalho ao domínio”. Mais detalhes sobre a mitigação da vulnerabilidade KrbRelayUp podem ser encontrados na pesquisa mais recente de Mor Davidovich em sua última entrada no GitHub.

Uma estratégia proativa de cibersegurança é uma solução viável que organizações progressistas estão se esforçando para implementar para fortalecer suas capacidades de defesa cibernética. Explore a plataforma Detection as Code da SOC Prime para obter acesso a conteúdo de detecção de ameaças enriquecido com contexto para garantir que sua organização esteja um passo à frente dos atacantes.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

A Solicitação de IA Personalizada no Uncoder AI Permite a Geração de Detecção Sob Demanda 3 min de leitura Plataforma SOC Prime A Solicitação de IA Personalizada no Uncoder AI Permite a Geração de Detecção Sob Demanda by Steven Edwards Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore 4 min de leitura Ameaças Mais Recentes Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore by Veronika Telychko Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas 5 min de leitura Ameaças Mais Recentes Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas by Veronika Telychko
Todas as notícias