1、 針對(duì)AD域安全的威脅形勢(shì)
操作系統(tǒng)內(nèi)核及服務(wù)端軟件一直是網(wǎng)絡(luò)攻擊的傳統(tǒng)目標(biāo),其相關(guān)漏洞也一直占據(jù)著重要位置。2022 年上半年,Windows操作系統(tǒng)中關(guān)于AD域環(huán)境爆出典型關(guān)鍵漏洞CNNVD-202205-2850,且漏洞 POC 或 Exploit 代碼在互聯(lián)網(wǎng)上廣泛傳播,攻擊者利用此類(lèi)漏洞能夠獲取對(duì)目標(biāo)的較高控制權(quán),進(jìn)而為實(shí)施更深層次的網(wǎng)絡(luò)滲透提供更大的便利和可能。
根據(jù)CNITSEC(中國(guó)信息安全測(cè)評(píng)中心)發(fā)布的《2022上半年網(wǎng)絡(luò)安全漏洞態(tài)勢(shì)觀察》報(bào)告中顯示,將AD域的該漏洞定義為2022年“明星”漏洞之一。
關(guān)于Windows AD域權(quán)限提升漏洞:
Active Directory 域服務(wù)(AD DS)是 Active Directory 中的核心組件,它存儲(chǔ)和管理連接到網(wǎng)絡(luò)的用戶(hù)、設(shè)備和服務(wù)信息,使用戶(hù)能夠?qū)W(wǎng)絡(luò)上的資源進(jìn)行身份驗(yàn)證和訪問(wèn),常應(yīng)用于企業(yè)級(jí)網(wǎng)絡(luò)內(nèi),是攻擊者進(jìn)行滲透、橫向移動(dòng)和數(shù)據(jù)泄露的一個(gè)關(guān)鍵目標(biāo)。Active Directory 域權(quán)限提升漏洞(CNNVD-202205-2850)允許攻擊者在開(kāi)啟了證書(shū)認(rèn)證的域中,僅擁有普通用戶(hù)權(quán)限即可提升到域控權(quán)限,攻擊者可以修改擁有的賬戶(hù)創(chuàng)建的機(jī)器賬戶(hù)的 dNSHostName 屬性,之后使用這個(gè)機(jī)器賬戶(hù)申請(qǐng)認(rèn)證機(jī)器證書(shū)即可得到域控權(quán)限的認(rèn)證證書(shū),使用該證書(shū)進(jìn)行身份驗(yàn)證,成功利用該漏洞的攻擊者可以獲取到域控權(quán)限,從而完全控制域。(截止目前微軟已修復(fù)該漏洞)
危害描述:通過(guò)利用該漏洞攻擊者可以獲取到域內(nèi)域控的權(quán)限,利用域控權(quán)限可以完全控制接入域內(nèi)的服務(wù)器、電腦、打印機(jī)等,對(duì)企業(yè)網(wǎng)絡(luò)造成威脅。
針對(duì)越來(lái)越多的關(guān)于AD域風(fēng)險(xiǎn)漏洞的爆發(fā),被攻擊者所利用;用戶(hù)對(duì)有關(guān)AD安全普遍痛點(diǎn)和問(wèn)題是:
? AD日志很難關(guān)聯(lián)分析,我的AD現(xiàn)在安全嗎?
? AD現(xiàn)有配置是否存在錯(cuò)誤配置或潛在攻擊路徑嘛?
? 域內(nèi)存在大量的休眠賬號(hào)及過(guò)時(shí)操作系統(tǒng),是否能發(fā)現(xiàn)他們?
? 每年請(qǐng)微軟或代理商來(lái)做一次AD加固,我就安全了嗎?
? 我是新管理員,以前配置不清楚,能發(fā)現(xiàn)權(quán)限過(guò)高的用戶(hù)嗎?
? 能模擬某賬號(hào)被攻陷,是否影響整個(gè)的AD安全嘛?
2、 AD域安全解決方案
每個(gè)勒索病毒攻擊的背后都是不安全的 Active Directory (AD) 部署。AD 已成為攻擊者通過(guò)利用已知缺陷和錯(cuò)誤配置來(lái)提升權(quán)限和促進(jìn)橫向移動(dòng)的首選目標(biāo)。
不幸的是,隨著域復(fù)雜性的增加,由于錯(cuò)誤配置堆積如山,大多數(shù)組織都在努力解決 Active Directory 安全問(wèn)題,導(dǎo)致安全團(tuán)隊(duì)無(wú)法在漏洞成為影響業(yè)務(wù)的問(wèn)題之前發(fā)現(xiàn)和修復(fù)漏洞。
企業(yè)需要對(duì)域控安全從5個(gè)方面加以重視:
? 全量AD錯(cuò)誤配置及風(fēng)險(xiǎn)的發(fā)現(xiàn)能力
? 全量攻擊路徑的發(fā)現(xiàn)能力
? 輕量級(jí)部署
? AD實(shí)時(shí)攻擊的檢測(cè)
? AD安全事件的回溯能力
我方提供的AD域安全解決方案是一種快速、無(wú)代理的Active Directory 安全解決方案,可讓您查看復(fù)雜AD 環(huán)境中的所有內(nèi)容,預(yù)測(cè)降低風(fēng)險(xiǎn)的重要事項(xiàng),并在攻擊者利用它們之前消除攻擊路徑。
● 在攻擊發(fā)生之前發(fā)現(xiàn)并修復(fù) Active Directory 的弱點(diǎn)
遵循分步補(bǔ)救指南,發(fā)現(xiàn)現(xiàn)有 Active Directory 域中的弱點(diǎn)并確定其優(yōu)先級(jí),并減少您的暴露風(fēng)險(xiǎn)。
● 實(shí)時(shí)檢測(cè)和響應(yīng) Active Directory 攻擊
檢測(cè) DCShadow、Brute Force、Password Spraying、DCSync 等 Active Directory 攻擊。通過(guò)攻擊洞察豐富您的 SIEM、SOC 或 SOAR,以便您快速響應(yīng)并阻止攻擊。
● 安全活動(dòng)目錄
? 發(fā)現(xiàn)影響您的 Active Directory 的潛在問(wèn)題;
? 識(shí)別危險(xiǎn)的信任關(guān)系;
? 捕捉目錄中的每一個(gè)變化;
? 在 AD 更改和惡意行為之間建立聯(lián)系;
? 深入分析攻擊細(xì)節(jié)。
直接從事件詳細(xì)信息中探索 MITRE ATT&CK 描述
3、 方案價(jià)值及優(yōu)勢(shì)
(1)市場(chǎng)地位
? 全球數(shù)百家大型企業(yè)部署經(jīng)驗(yàn);
? 眾多大型跨國(guó)企業(yè)AD被攻擊后采用的第一補(bǔ)救方案;
? 最大單一管理AD域用戶(hù)超150萬(wàn)。
(2)輕量部署
? 無(wú)需DC流量和在DC部署Agent;
? 只需一個(gè)普通權(quán)限的域賬號(hào);
? 實(shí)時(shí)性,無(wú)時(shí)延;
? 全中文界面。
(3)眾多功能
? 用簡(jiǎn)單術(shù)語(yǔ)分析200項(xiàng)配置風(fēng)險(xiǎn);
? 檢測(cè)配置風(fēng)險(xiǎn)/后門(mén)及主流攻擊;
? 攻擊路徑模擬顯示及AD蜜罐;
? AD安全事件回溯與追蹤。
(4)實(shí)時(shí)風(fēng)險(xiǎn)發(fā)現(xiàn)能力
? 識(shí)別危險(xiǎn)的信任關(guān)系;
? 掌握AD 中的每一個(gè)更改;
? 將AD 更改和惡意操作相關(guān)聯(lián);
? 分析攻擊的深度詳細(xì)信息。
(5)AD風(fēng)險(xiǎn)閉環(huán)處置
? 實(shí)時(shí)推送新增風(fēng)險(xiǎn);
? 風(fēng)險(xiǎn)處置后,自動(dòng)更新;
? 有詳細(xì)中文解讀和專(zhuān)家修復(fù)建議;
? 風(fēng)險(xiǎn)詳細(xì)關(guān)聯(lián)MITRE ATT&CK 說(shuō)明。
(6)專(zhuān)業(yè)PS服務(wù)
? 提供AD風(fēng)險(xiǎn)修補(bǔ)與解讀服務(wù);
? 提供SIEM整合咨詢(xún)服務(wù);
? 提供攻擊溯源咨詢(xún)服務(wù)。
如需進(jìn)行詳細(xì)方案溝通,請(qǐng)聯(lián)系愛(ài)瑞古德!
![微信客服 微信客服 掃碼咨詢(xún)](javascript:Site.hoverQrCode("//31172307.s21i.faiusr.com/2/ABUIABACGAAgutOkpAYonNfGkAQwsgg4sgg.jpg",this,{"tips":"請(qǐng)使用微信掃一掃"});){kind=link}