Бесплатно Экспресс-аудит сайта:

28.05.2022

Microsoft опубликовала руководство по защите корпоративных сред Windows от атак KrbRelayUp

Компания Microsoft опубликовала руководство для администраторов по защите корпоративных сред Windows от атак KrbRelayUp, позволяющих хакерам получать привилегии системы на Windows с заводскими настройками.

Атаки осуществляются с помощью инструмента KrbRelayUp, разработанного исследователем безопасности Мором Давидовичем (Mor Davidovich) в качестве обертки с открытым исходным кодом для инструментов Rubeus, KrbRelay, SCMUACBypass, PowerMad/SharpMad, Whisker и ADCSPwn, которые позволяют повышать привилегии на системе.

С конца апреля 2022 года, когда KrbRelayUp впервые был опубликован на GitHub, хакеры могут использовать его в своих атаках для повышения привилегий в атакуемых средах Windows с заводскими настройками (то есть, с отключенной подписью LDAP).

На этой неделе Давидович выпустил обновленную версию KrbRelayUp, которая также работает с включенной подписью LDAP и обеспечивает привилегии системы, если не включена расширенная защита аутентификации (Extended Protection for Authentication, EPA) для Active Directory Certificate Services (AD CS).

Как сообщает Microsoft, инструмент не работает в сетях организаций с облачными средами Azure Active Directory. Тем не менее, KrbRelayUp может помочь скомпрометировать виртуальные машины Azure в гибридных средах AD, где контроллеры домена синхронизированы с AD.

В четверг, 26 мая, Microsoft опубликовала руководство по защите от вышеописанных атак с использованием обертки KrbRelayUp. Однако эти меры были доступны и раньше, но только для корпоративных пользователей с подпиской на Microsoft 365 E5.

Компания рекомендует администраторам обеспечить защиту передачи данных между клиентами LDAP и контроллерами домена AD путем включения подписи LDAP для серверов и активирования EPA.

Организациям также следует рассмотреть возможность установить 0 в качестве атрибута ms-DS-MachineAccountQuota, чтобы усложнить использование атрибута в хакерских атаках. Использование 0 в качестве атрибута заблокирует пользователям без привилегий администратора возможность добавлять в домен новые устройства, и злоумышленникам придется искать более сложные способы получения подходящего ресурса.

Команда Microsoft 365 Defender Research Team представила подробности об атаке KrbRelayUp и рассказала, как усилить безопасность конфигураций устройств, здесь .