服务器|微软Defender for Identity 可检测 Windows Bronze Bit 攻击
文章插图
Microsoft 正在努力为 Microsoft Defender for Identity 添加对青铜位攻击检测的支持,以使安全运营团队更容易检测滥用 Windows Kerberos 安全绕过漏洞的尝试,该漏洞被跟踪为 CVE-2020-17049。
Microsoft Defender for Identity(以前称为 Azure 高级威胁防护或 Azure ATP)是一种利用本地 Active Directory 信号的基于云的安全解决方案。
它使 SecOps 团队能够检测和调查针对已注册组织的受损高级威胁、身份和恶意内部活动。
两个月后落地
微软在 Microsoft 365 路线图上解释说:“当有证据表明使用 BronzeBit 方法进行可疑 Kerberos 委派尝试时,将触发警报,其中用户试图使用票证委派对特定资源的访问。”
该漏洞(由 Microsoft 在 2020 年 11 月的补丁星期二期间修补)可在发现的安全顾问 Jake Karnes 将其命名为Kerberos Bronze Bit 攻击中被利用。
微软通过分两阶段的部署解决了 Bronze Bit 漏洞,初始部署阶段在 12 月 8 日,自动实施阶段在 2 月 9 日。
在微软发布 CVE-2020-17049 补丁一个月后,Karnes 发布了概念验证 (PoC) 漏洞利用代码以及有关如何使用它的完整详细信息。
【 服务器|微软Defender for Identity 可检测 Windows Bronze Bit 攻击】该漏洞可以绕过 Kerberos 委托保护,允许攻击者提升权限、冒充目标用户并在受感染环境中横向移动。
他分享了有关Kerberos协议的其他信息的低级概述,包括实际利用场景以及实施和使用 Kerberos Bronze Bit 攻击对易受攻击的服务器的详细信息。
所有这些附加细节和 PoC 漏洞的发布可能会使攻破为针对 CVE-2020-17049 修补的 Windows 服务器变得容易得多,这可能促使 Redmond 向 Microsoft Defender for Identity 添加青铜位检测支持。
PrintNightmare 和 Zerologon 攻击检测也可用
在7月,微软还增加了支持PrintNightmare包括开采后检测到微软后卫身份Zerologon在2020年11月开发检测。
两者都是严重的安全漏洞,PrintNightmare (CVE-2021-34527) 允许攻击者通过将权限提升到域管理员来接管受影响的服务器,而 Zerologon (CVE-2020-1472) 可被利用来提升权限以欺骗域控制器账户导致对整个域的完全控制。
多个威胁行为者,包括诸如Vice Society、Conti和Magniber等勒索软件团伙,已经使用 PrintNightmare 漏洞攻击未修补的 Windows 服务器。
自10 月底和9 月以来,国家支持和出于经济动机的威胁行为者也在利用未修补的系统来抵御 ZeroLogon 漏洞,此后加入的系统越来越多,包括:
伊朗支持的 MuddyWater 黑客组织(又名 SeedWorm 和 MERCURY),
TA505(又名 Chimborazo)以提供Clop勒索软件的传送渠道而闻名,
中国 APT10 黑客。
同样在 7 月,Microsoft 推出了另一个 Defender for Identity 更新,该更新使安全运营 (SecOps) 团队能够通过锁定受感染用户的 Active Directory 账户来阻止攻击企图。
Defender for Identity 与 Microsoft 365 E5 捆绑在一起,但是,如果您还没有订阅,您还可以获得安全 E5 试用版,以使用这些功能。
#微软#
推荐阅读
- 火狐|火狐回应 Firefox 无法访问网页:服务器更新触发 bug,现已解决
- mspoweruser|微软 SMS Organizer 短信应用更新:修复三星手机 Bug
- 三星手机|微软 SMS Organizer 短信应用更新:修复三星手机 Bug
- m偷录监听还会窃取信用卡! macOS系统遭微软揭发资安漏洞
- outlook|微软 Outlook 将支持手机端扫码登录
- 广告|微软广告现已覆盖超过全球 10 亿人
- firefox|恩恩怨怨几时休:CCleaner 现已上线 Win11 微软商店
- 小鹏汽车|微软与小鹏汽车达成合作 语音助手升级
- 日志|微软警告黑客继续利用 Log4j安全漏洞部署恶意软件
- Log4j|微软警告:Log4j 漏洞攻击水平仍然很高