Silverfort Bronz Bit CVE-2020-17049 İstismarına Karşı Koruma – Güncelleme
Aralık 14th, 2020 Yiftah Keshet
***** Ürün Pazarlama Direktörü Yiftach Keshet ve Güvenlik Araştırmacısı Dor Segal tarafından yazılmıştır. Silverfort *****
8 Aralık'ta yeni Bronz Uç sömürmek CVE-2020-17049 Kerberos güvenlik açığı kamuoyuna açıklandı ve saldırganların uzlaşma sonrası cephaneliğine bir başka son teknoloji silah eklendi. Bu güvenlik açığının tam düzeltmesi 8 Şubat 2021'den önce uygulanmayacak olsa da, SilverfortBirleşik Kimlik koruması Platform, Bronz Bit saldırısına karşı tam koruma sağlar. MFA'yı ve uyarlanabilir erişim denetimlerini uygulamadaki benzersiz yeteneği sayesinde Active Directory kimlik doğrulama protokolleri, Silverfort konusunda yeni bir paradigma getiriyor. yanal hareket saldırılarına karşı savunma in Active Directory ortamlar. Delegasyon türlerinin ayrıntılı bir analizi, CVE-2020-17049 ve Microsoft yaması tarafından gerçekleştirildi. SilverfortGüvenlik Araştırmacısı – Dor Segal ve mevcut okuyun.
Içindekiler
Güvenli Delegasyona Doğru Yolculuk
CVE-2020-17049, bir saldırganın Kaynak Kısıtlı Yetkilendirme kimlik doğrulama güvenlik kontrolü.
Genel olarak, delegasyon yeteneğine atıfta bulunur Active Directory diğer hesabın erişim ayrıcalıklarıyla kaynaklara erişmek için başka bir hesabın kimliğine bürünmek veya onun adına hareket etmek. Yaygın bir örnek, bir kullanıcının bir web uygulamasına erişmesidir: Kullanıcı web uygulamasına doğrudan erişiyor gibi görünse de, arka uçta olan şey, kullanıcı hesabının erişim ayrıcalıklarını bir hizmet hesabına devretmesidir. kullanıcıyı taklit eder ve kullanıcı adına uygulama veritabanına erişir.
Güvenlik açısından endişe, bu mekanizmanın bir saldırgan tarafından kötüye kullanılması durumunda ne olacağıdır. AD'de sunulan ve Sınırsız Yetkilendirme olarak da bilinen ilk Yetkilendirme mekanizması, kimliğe bürünme hizmetinin yetki veren hesabın erişebileceği tüm kaynaklara erişmesini sağladığı için önemli bir risk ortaya çıkardı.
Bu endişe, bu tabloda gösterildiği gibi, delegasyonun yıllar içinde kademeli olarak gelişmesine yol açtı:
Tabloda açıkça görülebileceği gibi, her nesil riski azaltmaktadır. maddi olarak azalarak yetki veren hesapların, kimliğe bürünen hizmetlerin ve erişilebilir kaynakların sayısı. Saldırganın kötü niyetli temsilci ataması gerçekleştirmesi senaryosu hala mümkün olsa da, bunun kaynak erişimi açısından etkileri önemli ölçüde daraltılmıştır.
Kaynak Kısıtlı Yetkilendirme en güvenli yetkilendirme türüdür, bu nedenle şu anda çoğu uygulamada kullanılan standarttır. Active Directory ortamlar.
Artık Delegasyon hakkında fikir edindiğimize göre, Bronze Bit istismarının etkisini anlayabiliriz.
Bronz Bit Saldırısı – Delegasyon Güvenlik Kontrollerini Bozma
Bronze Bit saldırısı, bir saldırganın aşağıdakileri gerçekleştirmesini sağlamak için CVE-2020-17049 güvenlik açığından yararlanır (yazarının dosyasından çıkarılmış ve düzenlenmiştir). blog):
Saldırgan, yetki verilmesine izin verilmeyen kullanıcıların kimliğine bürünebilir. Bu, Korumalı Kullanıcılar grubunun üyelerini ve açıkça "hassas ve devredilemez" olarak yapılandırılmış diğer kullanıcıları içerir.
Dolayısıyla bu saldırı bizi riske maruz kalma açısından geriye götürüyor, saldırı yüzeyi ortamdaki neredeyse tüm kullanıcı hesaplarına.
Microsoft CVE-2020-17049 Azaltma Faaliyetleri
Microsoft bir yama 8 Kasım Salı Yaması'nın bir parçası olarak bu güvenlik açığı için. Ancak çeşitli nedenlerle Kerberos kimlik doğrulama sorunları a yeni yama 8 Aralık'ta kullanıma sunuldu. Bu düzeltme eki, tam olarak uygulanana kadar kuruluşlara güvenlik açığından yararlanmaya karşı koruma sağlar. Kerberos 8 Şubat 2021'de gerçekleşecek olan protokol düzeltmesi. Genel olarak sunucu güvenlik yamalarının ve özel olarak Etki Alanı Denetleyicilerinin gerektirdiği tipik zorluklar göz önüne alındığında, yamaların kullanılabilir olmasına rağmen herkesin bunları hemen dağıtmaması muhtemeldir. Dolayısıyla, şu anda bu kuruluşlar için önemli bir risk maruziyeti var.
Silverfort Delegasyon Tabanlı Saldırılara Karşı Koruma
Silverfort Birleşik Kimlik Koruma Platformu, izlemeyi birleştiren tek çözümdür, risk analizi ve tüm kurumsal ağlar ve bulut ortamlarında tüm kullanıcı ve hizmet hesabı kimlik doğrulamaları için erişim politikası uygulaması.
Yenilikçi aracısız vekilsiz teknolojisi sayesinde, Silverfort uzayabilir MFA daha önce korunamayan çok çeşitli kaynaklara. Bu, elbette Kerberos protokolünü kullanan herhangi bir kimlik doğrulamayı içerir.
Ve şunu not etmek önemlidir kurarken a Silverfort Bir kullanıcı için politika, politikanın güvenlik denetimleri, kullanıcı tarafından gerçekleştirilen hem doğrudan hem de yetki verilen kimlik doğrulamaları için geçerlidir. Bunun hem yetki veren hem de devretmeyen kişilerin korunması için nasıl geçerli olduğunu görelim. kullanıcı hesapları.
Bronze Bit saldırısına karşı koruma – hesapları devretme
Uygulamada, yetki veren hesaplar (yani, yetki vermeye izin verecek şekilde yapılandırılmış hesaplar) şu nedenlerle zaten varsayılan olarak korunmaktadır: Silverfortsürekli izlenmesi Active Directory Bu hesapları otomatik olarak tanımlayan ve delegasyonu risk puanlarına dahil eden kimlik doğrulama protokolleri.
Bu nedenle, aşağıdaki risk tabanlı politika, anormal bir kimlik doğrulama girişimi gerçekleştiğinde bir MFA gereksinimini tetikleyecektir:
Böyle bir hesabın kimlik doğrulama girişimi her aştığında orta risk puanı, kullanıcı için bir MFA gereksinimi açılır. Kimlik doğrulama, bu hesap adına kötü niyetli yetki devri gerçekleştiren bir saldırgan tarafından yapıldıysa hesap sahibi, isteğinin kendi isteği olmadığını onaylayarak erişimi engelleyebilir.
Bronze Bit saldırısına karşı koruma – yetki vermeyen hesaplar
Ancak yetkilendirme için yapılandırılmamış kullanıcı hesaplarını nasıl koruyabiliriz? Bu hesaplar yetkilendirme faktörünü içermediğinden riske dayalı politika burada işe yaramaz, bu nedenle farklı bir yaklaşım gerekir.
Özetleyelim – hafifletmek istediğimiz senaryo şudur: Bir saldırgan bir hizmet hesabının güvenliğini ihlal etmiştir – hadi buna diyelim hesap 1. Saldırgan hassas bir kaynağa erişmek istiyor - hadi onu arayalım kaynak 1 – ancak şu erişim ayrıcalıkları altında yapamaz: hesap 1. Bronze Bit istismarı ile saldırganın kullanabileceği hesap 1 arayacağımız yüksek ayrıcalıklı bir hesabın kimliğine bürünmek için hesap 2 o delegasyona izin vermeyecek şekilde yapılandırıldı (örneğin, herhangi bir üye Korumalı Kullanıcılar grubu), erişmek için kaynak 1.
Hesap 1 taklit ediyor hesap 2 ulaşmak için kaynak 1. Erişimden önce perde arkası kaynak 1, hesap 2 kimliğini doğrular hesap 1 sağlamak için kullanıcı 1 adına hareket etme yeteneği. Şimdi, hesap 1 kimliğe bürünmeye izin verecek şekilde yapılandırılmış bir hizmet olmalıdır. Bunu yapmak için yapılandırılan tüm hizmetler zaten bilindiğinden (sonuçta bunlar etki alanı yönetim ekibi tarafından yapılandırıldı), ihtiyacımız olan tek şey aşağıdaki politikadır:
'Temsilci Olmayan Hesaplar', yetki verilmeyecek şekilde yapılandırılmış tüm kullanıcı hesaplarını ifade ederken, 'Kimliğe Benzeyen Hizmet Hesapları', tüm kullanıcı hesaplarını temsil eder. hizmet hesapları kimliğe bürünmeye izin verecek şekilde yapılandırılmış. Alternatif olarak, yalnızca yetkilendirmeyi reddetmek ve kaynağa erişmeye devam etmek istiyorsak, yalnızca yetkilendirme erişimini sınırlamak için "Kaynak" alanını kullanabilirler.
Bu durumda ' atamanızı öneririz.Reddet' koruyucu eylem olarak: Bu hesaplar asla yetki verme ile etkileşime girmemesi gerektiğinden hizmet hesapları, herhangi bir operasyonel kesinti meydana gelmemelidir.
Bu koruma Bronze Bit saldırısını tamamen bozar. Saldırgan yüksek bir zorlamayı başarsa bile ayrıcalıklı hesap delegasyonu denemek, Silverfort kimliğine bürünen bir hizmet hesabıyla gerçek etkileşimini önleyecektir.
Silverfort Bronz Kit istismarına karşı koruma, uyarlamalı erişim kontrolünün Active Directory kimlik doğrulama protokolleri ve özellikle saldırganların Bronze Kit saldırısını başlatmak için kullanacakları uzaktan erişim komut satırı araçlarına karşı yeterli koruma sağlamak için zorunludur. yanal hareket saldırılar.
Hakkında daha fazla bilgi alın Silverfort okuyun
