Reklam
MicrosoftSecurity

Windows Bronze Bit saldırılarını algılamak için Kimlik için Microsoft Defender

Windows Bronze Bit saldırılarını algılamak için Kimlik için Microsoft Defender

Microsoft, Güvenlik Operasyonları ekiplerinin CVE-2020-17049 olarak izlenen bir Windows Kerberos güvenlik atlama hatasını kötüye kullanma girişimlerini algılamasını kolaylaştırmak için Kimlik için Microsoft Defender’a Bronz Bit saldırı algılama desteği eklemeye çalışıyor.

Kimlik için Microsoft Defender (önceden Azure Gelişmiş Tehdit Koruması veya Azure ATP), şirket içi Active Directory sinyallerinden yararlanan bulut tabanlı bir güvenlik çözümüdür.

SecOps ekiplerinin, kayıtlı kuruluşları hedef alan güvenliği ihlal edilmiş gelişmiş tehditleri, kimlikleri ve içeriden kötü niyetli faaliyetleri tespit etmesini ve araştırmasını sağlar.

İki ayda iniş

Microsoft, Microsoft 365 yol haritasında “Kullanıcının belirli bir kaynağa erişim yetkisi vermek için bir bilet kullanmaya çalıştığı BronzeBit yöntemini kullanan şüpheli Kerberos delegasyonu girişimlerinin kanıtı olduğunda bir uyarı tetiklenecektir.”

Kusur (Microsoft tarafından Kasım 2020 Salı Yaması sırasında düzeltildi), keşfeden güvenlik danışmanı Jake Karnes’ın adlandırdığı şeyde kullanılabilir. Kerberos Bronz Bit saldırıları.

Microsoft, Bronze Bit güvenlik açığını bir iki aşamalı aşamalı sunum, ilk dağıtım aşaması 8 Aralık’ta ve otomatik uygulama aşaması 9 Şubat’ta.

Microsoft’un CVE-2020-17049 yamalarını yayınlamasından bir ay sonra, Karnes bir kavram kanıtı (PoC) istismar kodu ve bunun nasıl kullanılabileceğine dair tüm ayrıntıları yayınladı.

Bu istismar, Kerberos yetkilendirme korumasını atlayarak, saldırganların ayrıcalıkları yükseltmesine, hedeflenen kullanıcıların kimliğine bürünmesine ve güvenliği ihlal edilmiş ortamlarda yanlamasına hareket etmesine olanak tanır.

Bir paylaştı düşük seviyeli genel bakış hakkında ek bilgi ile Kerberos protokol dahil pratik istismar senaryoları ve savunmasız sunuculara karşı Kerberos Bronze Bit saldırılarının uygulanması ve kullanılmasıyla ilgili ayrıntılar.

Tüm bu ek ayrıntıların ve PoC istismarının yayınlanması, muhtemelen CVE-2020-17049’a karşı yama uygulanmamış Windows sunucularını ihlal etmeyi çok daha kolay hale getirecek ve Redmond’un Microsoft Defender for Identity’ye Bronze Bit algılama desteği eklemesine neden olan şey muhtemelen buydu.

PrintNightmare ve Zerologon saldırı tespiti de mevcuttur

Temmuz ayında, Microsoft ayrıca BaskıKabusu dahil ettikten sonra Microsoft Defender for Identity’ye istismar algılama sıfır oturum Kasım 2020’de istismar tespiti.

PrintNightmare (CVE-2021-34527) ile her ikisi de kritik güvenlik açıklarıdır. saldırganlar etkilenen sunucuları ele geçirmek için Etki Alanı Yöneticisine ayrıcalıkları yükselterek, Zerologon (CVE-2020-1472), tüm etki alanının tam kontrolünü sağlayan bir etki alanı denetleyici hesabını taklit etmek için ayrıcalıkları yükseltmek için kullanılabilir.

gibi fidye yazılımı çeteleri de dahil olmak üzere birden fazla tehdit aktörü Yardımcısı Derneği, Conti, ve Magniber, yama uygulanmamış Windows sunucularını tehlikeye atmak için PrintNightmare açıklarını zaten kullanıyor.

Hem devlet destekli hem de finansal olarak motive edilmiş tehdit aktörleri, o zamandan beri ZeroLogon güvenlik açığına karşı yama uygulanmamış sistemleri de kullanıyor. ekim sonu ve eylülde, o zamandan beri daha fazlası katıldı:

Yine Temmuz ayında Microsoft, güvenlik operasyonları (SecOps) ekiplerinin aşağıdakiler tarafından saldırı girişimlerini engellemesini sağlayan başka bir Kimlik için Defender güncellemesini kullanıma sundu. güvenliği ihlal edilmiş kullanıcıların Active Directory hesaplarını kilitleme.

Defender for Identity, Microsoft 365 E5 ile birlikte gelir, ancak henüz bir aboneliğiniz yoksa, Güvenlik E5 denemesi bu özelliklere bir dönüş vermek için.




Source link

Başa dön tuşu

Reklam Engelleyici Algılandı

Lütfen reklam engelleyiciyi devre dışı bırakarak bizi desteklemeyi düşünün