Microsoft, Windows KrbRelayUp LPE Saldırıları İçin Rehber Paylaştı

Microsoft, IT uzmanlarının Windows kurumsal ortamlarını saldırganların varsayılan yapılandırmalara sahip Windows sistemlerinde system ayrıcalıkları kazanmasını sağlayan KrbRelayUp saldırılarına karşı savunmasına yardımcı olacak bir kılavuz paylaştı.

Davidovich , Pazartesi günü KrbRelayUp’ın LDAP signing zorunlu kılındığında da çalışan ve Active Directory Sertifika Hizmetleri (AD CS) için Kimlik Doğrulama için Genişletilmiş Koruma (EPA) etkinleştirilmemişse saldırganlara system ayrıcalıkları sağlayacak güncellenmiş bir tool yayınladı.

Microsoft, bu ayrıcalık yükseltme aracının bulut tabanlı Azure Active Directory ortamlarına sahip kuruluşlara karşı çalışmadığını söylüyor. Ancak KrbRelayUp, etki alanı denetleyicilerinin Azure AD ile eşitlendiği hibrit AD ortamlarında Azure sanal makinelerinin güvenliğinin ihlal edilmesine kullanılabilir.

Microsoft 365 Defender Araştırma Ekibinden Zeev Rabinovich ve Ofir Shlomo, “Bu saldırı Azure Active Directory’ye (Azure AD) katılan cihazlarda çalışmasa da, şirket içi etki alanı denetleyicilerine sahip hibrit birleştirilmiş cihazlar savunmasız kalmaya devam ediyor. Bir saldırgan, eşitlenmiş bir hesap kullanarak bir Azure sanal makinesine saldırırsa sanal makinede system ayrıcalıkları alacak.” dendi.

https://video.twimg.com/ext_tw_video/1528776798733049858/pu/vid/1280x720/fAJrpB4bFWLqX6iG.mp4

Microsoft, bu tür girişimleri engellemeye ve kurumsal ağları KrbRelayUp kullanan saldırılara karşı savunmaya ilişkin yönergeleri paylaştı. Redmond’un tavsiyelerine göre, yöneticilerin  LDAP sunucu imzalamayı zorunlu kılarak ve Kimlik Doğrulama için Genişletilmiş Korumayı (EPA) etkinleştirerek LDAP istemcileri ve Active Directory (AD) etki alanı denetleyicileri arasındaki iletişimi güvence altına alması gerekiyor.

Microsoft’un dediği gibi, kuruluşlara “bu tehdidin etkisini azaltmak” için aşağıdaki azaltıcı önlemleri uygulamaları öneriyor;

Kaynak: bleepingcomputer.com

Exit mobile version