Indikatoren

Die kritische CVE-2020-1472 namens Zerologon ist ein Angriff, der einen Kryptographiefehler im Netlogon-Protokoll missbraucht, der es einem Angreifer ermöglicht, als beliebiger Computer einen sicheren Netlogon-Kanal mit einem Domänencontroller aufzubauen. Dann kann mit verschiedenen Post-Exploitation-Verfahren eine Rechteausweitung erzielt werden, zum Beispiel eine Änderung des Passworts des Domänencontroller-Kontos, erzwungene Authentifizierung, DCSync-Angriffe und andere. Der ZeroLogon-Exploit wird oft mit den Post-Exploitation-Aktivitäten verwechselt, die die tatsächliche gefälschte Netlogon-Authentifizierungsumgehung verwenden (adressiert vom IOA „Zerologon-Ausnutzung“). Dieser Indikator fokussiert sich auf eine der Post-Exploitation-Aktivitäten, die mit der Netlogon-Schwachstelle verwendet werden können: die Modifizierung des Kontopassworts für den Domänencontroller-Rechner.

Die unter dem Namen Zerologon bekannte Schwachstelle steht im Zusammenhang mit einer kritischen Schwachstelle (CVE-2020-1472) in Windows Server, die einen CVSS-Score von 10,0 von Microsoft erhalten hat. Sie umfasst eine Erhöhung von Berechtigungen, die stattfindet, wenn ein Angreifer eine anfällige Netlogon-Verbindung über einen sicheren Kanal zu einem Domänencontroller herstellt, unter Berechtigungen des Netlogon-Remote-Protokolls (MS-NRPC). Diese Schwachstelle ermöglicht es Angreifern, eine Domäne zu kompromittieren und sich die Rechte eines Domänenadministrators zu verschaffen.

Kerberoasting ist ein Angriffstyp, der auf Anmeldeinformationen von Active Directory-Dienstkonten abzielt, um Passwörter offline zu knacken. Bei diesem Angriff wird versucht, sich durch Anfordern von Diensttickets Zugriff auf Dienstkonten zu verschaffen und dann die Anmeldeinformationen des Dienstkontos offline zu knacken. Die klassische Kerberoasting-Methode wird vom IoA Kerberoasting abgedeckt. Wie im Namen des Indikators angegeben, gibt es eine weitere Möglichkeit, einen Kerberoasting-Angriff durchzuführen. Hierbei wird eine getarnte Herangehensweise verwendet, die viele Erkennungsmethoden umgehen könnte. Diese Methode wird vermutlich von erfahrenen Angreifern bevorzugt, da sie hoffen, damit für die meisten Erkennungsheuristiken unsichtbar zu bleiben.

Als DNSAdmins-Ausnutzung bezeichnet man einen Angriff, der es Mitgliedern der DNSAdmins-Gruppe ermöglicht, die Kontrolle über einen Domänencontroller zu übernehmen, auf dem der MicrosoftDNS-Dienst ausgeführt wird. Ein Mitglied der DNSAdmins-Gruppe verfügt über Rechte zum Ausführen von administrativen Aufgaben für den Active DirectoryDNS-Dienst. Angreifer können diese Rechte missbrauchen, um Schadcode in einem Kontext auszuführen, der hohe Berechtigungen erfordert.

DPAPI-Domänensicherungsschlüssel sind ein wichtiger Bestandteil bei der Wiederherstellung von DPAPI-Geheimnissen. Verschiedene Angriffs-Tools sind darauf ausgelegt, diese Schlüssel mithilfe von LSARPC-Aufrufen von Domänencontrollern zu extrahieren. Microsoft bestätigt, dass es keine unterstützte Methode zum Rotieren oder Ändern dieser Schlüssel gibt. Daher empfiehlt das Unternehmen im Fall einer Kompromittierung der DPAPI-Sicherungsschlüssel für die Domäne, eine vollständig neue Domäne von Grund auf zu erstellen. Dies ist ein kostspieliger und langwieriger Vorgang.

Die kritische Schwachstelle CVE-2021-42287 kann dazu führen, dass von einem Standardkonto aus eine Rechteausweitung in der Domäne möglich ist. Dieser Fehler entsteht durch falsche Verarbeitung von Anfragen, die sich an ein Objekt mit einem nicht vorhandenen sAMAccountName-Attribut richten. Der Domänencontroller fügt dem sAMAccountName-Wert automatisch ein nachgestelltes Dollarzeichen ($) hinzu, wenn er dieses Zeichen nicht findet. Dies kann zu einem Identitätswechsel für ein Computerkonto führen, das Ziel des Angriffs ist.

NTDS-Exfiltration bezieht sich auf die Methode, die Angreifer zum Abrufen der NTDS.dit-Datenbank verwenden. In dieser Datei werden Active Directory-Geheimnisse wie Passwort-Hashes und Kerberos-Schlüssel gespeichert. Nachdem ein Angreifer sich Zugriff verschafft hat, analysiert er eine Kopie der Datei offline. Dies ist eine Alternative zu DCSync-Angriffen zum Abrufen von sensiblen Active Directory-Inhalten.

Kerberoasting ist ein Angriffstyp, der auf Anmeldeinformationen von Active Directory-Dienstkonten abzielt, um Passwörter offline zu knacken. Bei diesem Angriff wird versucht, sich durch Anfordern von Diensttickets Zugriff auf Dienstkonten zu verschaffen und dann die Anmeldeinformationen des Dienstkontos offline zu knacken. Der Indicator of Attack Kerberoasting erfordert die Aktivierung der Honey-Konto-Funktion von Tenable Identity Exposure, um eine Warnmeldung zu senden, wenn eine Person versucht, sich beim Honey-Konto anzumelden, oder wenn dieses Konto eine Ticketanfrage erhält.

Eine enorme Anzahl Authentifizierungsanforderungen auf mehreren Computern mit NTLM- oder Kerberos-Protokollen, die von derselben Quelle stammen, kann auf einen Angriff hindeuten.

Die Gruppe der lokalen Administratoren wurde mit der SAMR RPC-Schnittstelle aufgelistet, höchstwahrscheinlich mit BloodHound/SharpHound.

Listet die falsch konfigurierten Parameter im Zusammenhang mit Windows Server Update Services (WSUS) auf.

Stellt sicher, dass der Mechanismus "Distributed File System Replication" (DFS-R) den "File Replication Service" (FRS) ersetzt hat.

Prüft Passwörter auf Schwächen, durch die Active Directory-Konten anfälliger für Risiken werden können.

Stellt sicher, dass die Domäne Härtungsmaßnahmen zum Schutz gegen Ransomware implementiert hat.

Listen Sie gefährliche Berechtigungen und falsch konfigurierte Parameter im Zusammenhang mit der Windows Public Key-Infrastruktur (PKI) auf.

Überprüft, ob die auf Domänencomputer angewendeten Gruppenrichtlinienobjekte (GPOs) angemessen sind.

Sucht nach privilegierten Benutzern, die eine Verbindung mit weniger privilegierten Computern herstellen können, was zum Diebstahl von Anmeldeinformationen führen kann.

CVE-2020-1472 („Zerologon“) wirkt sich auf das Netlogon-Protokoll aus und ermöglicht die Heraufstufung von Berechtigungen

Credential roaming-Attribute sind insofern anfällig, als die geschützten Geheimnisse des zugehörigen Benutzers von einem Angreifer gelesen werden können.

Sucht nach Objekten, die potenzielle Klartext-Passwörter in Attributen enthalten, die von Domänenbenutzern gelesen werden können.