Pesquisar

Língua

Silverfort Proteção contra a exploração do Bit Bronze CVE-2020-17049 – Atualização

14 de Dezembro de 2020

Início » Blog » Silverfort Proteção contra a exploração do Bit Bronze CVE-2020-17049 – Atualização

***** Por Yiftach Keshet, Diretor de Marketing de Produto e Dor Segal, Pesquisador de Segurança Silverfort   *****

No dia 8 de dezembro, o novo Broca de bronze exploração de Vulnerabilidade Kerberos CVE-2020-17049 foi tornada pública, acrescentando outra arma de ponta ao arsenal pós-compromisso dos atacantes. Embora a correção completa desta vulnerabilidade não seja aplicada antes de 8 de fevereiro de 2021, Silverforté unificado Proteção de identidade A plataforma oferece proteção total contra o ataque Bronze Bit. Através de sua capacidade única de aplicar MFA e controles de acesso adaptativos em Active Directory protocolos de autenticação, Silverfort introduz um novo paradigma defesa contra ataques de movimento lateral in Active Directory ambientes. Uma análise detalhada dos tipos de delegação, CVE-2020-17049 e do patch da Microsoft foi realizada por SilverfortPesquisador de Segurança - Dor Segal e está disponível SUA PARTICIPAÇÃO FAZ A DIFERENÇA.

Índice analítico

  • A jornada rumo à delegação segura
  • O ataque Bronze Bit – prejudicando os controles de segurança da delegação
  • Atividades de mitigação Microsoft CVE-2020-17049
  • Silverfort Proteção contra ataques baseados em delegação
  • Proteção contra o ataque Bronze Bit – delegando contas
  • Proteção contra o ataque Bronze Bit – contas sem delegação

    • A jornada rumo à delegação segura

    CVE-2020-17049 permite que um invasor ignore o Delegação com recursos limitados controle de segurança de autenticação.

    Em geral, Delegação refere-se à capacidade de Active Directory conta para se passar por ou agir em nome de outra conta, a fim de acessar recursos com os privilégios de acesso da outra conta. Um exemplo comum é quando um usuário acessa uma aplicação web: embora pareça que o usuário acessa a aplicação web diretamente, o que acontece no backend é que a conta do usuário delega seus privilégios de acesso a uma conta de serviço que personifica o usuário e acessa o banco de dados do aplicativo em nome do usuário.

    Do ponto de vista da segurança, a preocupação é o que acontecerá se esse mecanismo for abusado por um invasor. O primeiro mecanismo de Delegação oferecido no AD, também conhecido como Delegação Irrestrita, introduziu um risco significativo, pois permitiu que o serviço de representação acessasse todos os recursos que a conta delegante pudesse acessar.

    Esta preocupação levou a uma evolução gradual da delegação ao longo dos anos, conforme mostra esta tabela:

    Como pode ser visto claramente na tabela, cada geração reduz o risco diminuindo materialmente o número de delegações de contas, serviços de representação e recursos acessíveis. Embora o cenário de um invasor realizar delegação maliciosa ainda seja possível, suas implicações em termos de acesso a recursos são significativamente reduzidas.

    Delegação com recursos limitados são o tipo de delegação mais seguro, portanto, atualmente são o padrão usado na maioria Active Directory ambientes.

    Agora que obtivemos informações sobre a delegação, podemos entender o impacto da exploração do Bronze Bit.

    O ataque Bronze Bit – prejudicando os controles de segurança da delegação

    O ataque Bronze Bit faz uso da vulnerabilidade CVE-2020-17049 para permitir que um invasor execute o seguinte (extraído e editado do livro de seu autor blog):

    'Um invasor pode se passar por usuários que não podem ser delegados. Isso inclui membros do grupo Usuários Protegidos e quaisquer outros usuários explicitamente configurados como “confidenciais e não podem ser delegados”

    Então, esse ataque nos leva de volta em termos de exposição ao risco, aumentando a superfície de ataque para praticamente todas as contas de usuário do ambiente.

    Atividades de mitigação Microsoft CVE-2020-17049

    A Microsoft lançou um remendo para esta vulnerabilidade como parte do Patch Tuesday de 8 de novembro. No entanto, devido a vários Problemas de autenticação Kerberos a novo patch foi disponibilizado em 8 de dezembro. Este patch fornece proteção às empresas contra a exploração da vulnerabilidade até a aplicação total do Kerberos correção de protocolo, que ocorrerá em 8 de fevereiro de 2021. Dadas as dificuldades típicas envolvidas na aplicação de patches de segurança de servidores em geral e em controladores de domínio especificamente, é provável que, apesar da disponibilidade dos patches, nem todos os implementem imediatamente. Portanto, existe atualmente uma exposição significativa ao risco para essas organizações.

    Silverfort Proteção contra ataques baseados em delegação

    Silverfort A Plataforma Unificada de Proteção de Identidade é a única solução que consolida o monitoramento, análise de risco e acesso à aplicação de políticas para todas as autenticações de usuários e contas de serviço em todas as redes corporativas e ambientes de nuvem.

    Devido à sua tecnologia inovadora sem proxy e sem agente, Silverfort pode estender MFA a uma ampla gama de recursos que antes não podiam ser protegidos. É claro que isso inclui qualquer autenticação que use o protocolo Kerberos.

    E é importante notar que ao configurar a Silverfort política para um usuário, os controles de segurança da política se aplicam tanto às autenticações diretas quanto às autenticações delegadas executadas pelo usuário. Vamos ver como isso se aplica à proteção tanto de quem delega quanto de quem não delega contas de usuário.

    Proteção contra o ataque Bronze Bit – delegando contas

    Na prática, as contas de delegação (ou seja, contas configuradas para permitir a delegação) já estão protegidas por padrão devido a Silverfortmonitoramento contínuo da Active Directory protocolos de autenticação, que identificam automaticamente essas contas e levam em consideração a delegação em sua pontuação de risco.

    Assim, a seguinte política baseada no risco acionaria um requisito de MFA sempre que ocorresse uma tentativa de autenticação anómala:

    Sempre que a tentativa de autenticação de tal conta exceder média pontuação de risco, um requisito de MFA aparecerá para o usuário. Se a autenticação foi feita por um invasor realizando delegação maliciosa em nome desta conta, o proprietário da conta poderá bloquear o acesso confirmando que não é sua solicitação.

    Proteção contra o ataque Bronze Bit – contas sem delegação

    Mas como podemos proteger as contas de usuários que não estão configuradas para delegação? A política baseada no risco não serve aqui, uma vez que estas contas não incluem o factor de delegação, pelo que é necessária uma abordagem diferente.

    Vamos recapitular – o cenário que queremos mitigar é este: um invasor comprometeu uma conta de serviço – vamos chamá-lo conta 1. O invasor deseja acessar um recurso confidencial – vamos chamá-lo recurso 1 – mas não pode fazê-lo sob os privilégios de acesso de conta 1. Com o exploit Bronze Bit, o invasor pode usar conta 1 para se passar por uma conta de alto privilégio que chamaremos conta 2 que está configurado para não permitir delegação (por exemplo, qualquer membro do Grupo de usuários protegidos), para acessar recurso 1.

    Conta 1 está se passando por conta 2 para acessar recurso 1. Nos bastidores, antes de acessar recurso 1, conta 2 autentica para conta 1 a fim de fornecer usuário 1 a capacidade de agir em seu nome. Agora, conta 1 deve ser um serviço configurado para permitir representação. Como todos os serviços que estão configurados para isso já são conhecidos (afinal foram configurados pela equipe de administração do domínio) basta a seguinte política:

    As 'Contas Não-Delegantes' representam todas as contas de usuário configuradas para não delegar, enquanto as 'Contas de Serviço Representativas' representam todas as contas de serviço que estão configurados para permitir a representação. Alternativamente, se quisermos negar apenas a delegação e ainda assim acessar o recurso, eles poderiam usar o campo “Fonte” para limitar apenas o acesso da delegação.

    Neste caso, recomendamos atribuir 'Denegar' como a ação protetora: Como essas contas nunca devem interagir com a delegação contas de serviço, nenhuma interrupção operacional deverá ocorrer.

    Esta proteção prejudica totalmente o ataque Bronze Bit. Mesmo que o invasor conseguisse forçar uma alta conta privilegiada tentar delegação, Silverfort impedirá seu envolvimento real com uma conta de serviço falsa.

    Silverfort A proteção contra a exploração do Kit Bronze demonstra mais uma vez como aplicar o controle de acesso adaptativo a Active Directory protocolos de autenticação e, especificamente, às ferramentas de linha de comando de acesso remoto que os invasores usariam para lançar o ataque do Kit Bronze, é fundamental para fornecer proteção suficiente contra movimento lateral ataques.

    Saiba mais sobre Silverfort SUA PARTICIPAÇÃO FAZ A DIFERENÇA 

    Pronto para uma demonstração?
    Inscreva-se hoje.

    Postagens recentes

    2 de maio de 2024

    Silverfort revelará pesquisa na RSA 2024: usando MITM para ignorar métodos modernos de autenticação para SSO

    24 de abril de 2024

    5 maneiras de melhorar sua higiene AD com Silverfort  

    Março 26th, 2024

    The Identity Underground Report: uma visão aprofundada das lacunas de segurança de identidade mais críticas  

    Março 2nd, 2024

    Proteção MFA para redes air-gapped
    Ver mais

    Siga-nos

    Pare as ameaças à identidade agora