Microsoft Active Directory

Продукт

Разработчики:	Microsoft
Дата последнего релиза:	2022/08/25
Технологии:	Серверные платформы

Содержание

Анатомия атаки через Active Directory
2022
- Применение вредоносного ПО MagicWeb для посткомпрометации Active Directory
- Экстренное исправление проблемы авторизации
2019: В MaxPatrol SIEM загружен пакет для выявления аномалии в активности пользователей в Active Directory
2011
Примечания

Active Directory — LDAP-совместимая реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows NT.

Анатомия атаки через Active Directory

2022

Применение вредоносного ПО MagicWeb для посткомпрометации Active Directory

Злоумышленники, ответственные за атаку на цепочку поставок SolarWinds, стали использовать вредоносное ПО MagicWeb для посткомпрометации, которое применяется для поддержания постоянного доступа к скомпрометированной среде и совершения бокового перемещения. Об этом стало известно 25 августа 2022 года.

Исследователи из Microsoft обнаружили, как APT-группа Nobelium использует бэкдор после получения прав администратора на сервере Active Directory Federated Services (AD FS). При таком привилегированном доступе злоумышленники заменяют законную DLL-библиотеку вредоносной DLL-библиотекой MagicWeb. При этом вредоносное ПО загружается на сервере AD FS как легитимное ПО.

Иллюстрация:securitylab.ru

Как и контроллеры домена, серверы AD FS могут аутентифицировать пользователей. MagicWeb облегчает авторизацию для злоумышленников, позволяя манипулировать утверждениями в маркерах аутентификации AD FS. Так хакеры могут аутентифицироваться в сети.

По словам Microsoft, MagicWeb является улучшенной итерацией ранее использовавшегося специализированного инструмента FoggyWeb, который также обеспечивает прочный плацдарм внутри сетей жертв.Российский рынок BI-систем: оценки, перспективы, крупнейшие вендоры и интеграторы. Обзор TAdviser 185.2 т

MagicWeb превосходит возможности FoggyWeb по сбору данных, облегчая прямой скрытый доступ. Он манипулирует сертификатами аутентификации пользователя для авторизации, а не сертификатами подписи, используемыми в атаках по типу Golden SAML.

Согласно бюллетеню Microsoft, на август 2022 года использование MagicWeb является весьма целенаправленным и о жертвах данного ПО не сообщается^[1].

Экстренное исправление проблемы авторизации

20 мая 2022 года стало известно о том, что компания Microsoft выпустила внеплановые исправления (OOB) для решения проблемы с авторизацией в Windows Active Directory (AD), над которыми работала с 12 мая 2022 года. Проблема появилась после установки на контроллеры домена обновлений Windows, выпущенных в майский вторник исправлений 2022 года. Сбои авторизации на стороне сервера или клиента наблюдались у служб Network Policy Server (NPS), Routing and Remote access Service (RRAS), Radius, Extensible Authentication Protocol (EAP) и Protected Extensible Authentication Protocol (PEAP). Проблема была связана с тем, как сопоставление сертификатов с учетными данными устройств обрабатывалось контроллером домена.

Windows Active Directory

Как сообщалось, выпущенные обновления OOB Windows доступны только через Microsoft Update Catalog и не будут распространяться через Windows Update.

Компания выпустила следующие накопительные пакеты обновлений для установки на контроллеры домена:

Windows Server 2022: KB5015013
Windows Server, версия 20H2: KB5015020
Windows Server 2019: KB5015018
Windows Server 2016: KB5015019

Также были выпущены обновления, никак не связанные с проблемой:

Windows Server 2012 R2: KB5014986
Windows Server 2012: KB5014991
Windows Server 2008 R2 SP1: KB5014987
Windows Server 2008 SP2: KB5014990

Все обновления из списка можно вручную импортировать в службы обновления Windows Server Update Services (WSUS) и Microsoft Endpoint Configuration Manager. Инструкции по WSUS можно найти на странице WSUS, а по Configuration Manager – на странице импорта обновлений из Microsoft Update Catalog^[2].

2019: В MaxPatrol SIEM загружен пакет для выявления аномалии в активности пользователей в Active Directory

10 апреля 2019 года компания Positive Technologies сообщила о загрузке пакета экспертизы в MaxPatrol SIEM, который позволяет выявлять аномалии в активности пользователей в Microsoft Active Directory. Подробнее здесь.

2011

Active Directory реализует для администраторов использование групповых политик (GPO) для обеспечения единообразия настройки пользовательской рабочей среды, развёртывание ПО на множестве компьютеров (через групповые политики или посредством Microsoft Systems Management Server 2003 (или System Center Configuration Manager)), устанавку обновлений ОС, прикладного и серверного ПО на всех компьютерах в сети (с использованием Windows Server Update Services (WSUS); Software Update Services (SUS) ранее).

Active Directory хранит данные и настройки среды в централизованной базе данных.

Информационные системы состоят из множества разнообразного оборудования и программного обеспечения. Управлять такой разрозненной информацией становится всё труднее без специализированных средств. Доменные службы Active Directory — централизованное хранилище сведений о конфигурации, запросов на проверку подлинности, а также сведений обо всех объектах, хранящихся в корпоративном лесе.

С помощью Active Directory можно эффективно управлять пользователями, компьютерами, группами, принтерами, приложениями и другими поддерживающими службы каталогов проектами из единого безопасного, централизованного места. Специалист компании «Кречет» Геннадий Ефимов рассказал о процедуре миграции на конкретном примере реализованного проекта, дал необходимые рекомендации и поделился советами и своим опытом, помог слушателям выделить причины и обосновать перед руководством необходимость миграции на Active Directory 2008 R2.

Примечания

Источник — «https://www.tadviser.ru/index.php/%D0%9F%D1%80%D0%BE%D0%B4%D1%83%D0%BA%D1%82:Microsoft_Active_Directory»

ПРОЕКТЫ (32)	ПРОЕКТЫ НА БАЗЕ (2)	ИНТЕГРАТОРЫ (19)
РЕШЕНИЕ НА БАЗЕ (1)	СМ. ТАКЖЕ (468)	ОТРАСЛИ (14)
ГЕОГРАФИЯ

27.07.23	Открытое программное обеспечение (Open Source)
13.07.23	Profelis IT Consultancy: SambaBox Система каталогов
12.07.23	D-Link: D-View 8 Программная платформа комплексного сетевого управления
11.07.23	Energon, Энергон (Смарт Бэттериз) (1С-Битрикс24)
07.07.23	FortiGate
06.07.23	Облака для крупного бизнеса: три стадии принятия неизбежного
20.06.23	Крупное обновление МойОфис: 1300 изменений, улучшений и новых функций
07.06.23	Service Desk Итилиум
31.05.23	Базальт СПО: Альт Домен
31.05.23	Московский кредитный банк (МКБ) (FanRuan FineBI)
29.05.23	1С-Коннект - сервисный подход к корпоративным коммуникациям
24.05.23	Secret Net
18.05.23	Удобный многофакторный доступ для всех. На что способна 2FA-система MULTIFACTOR
25.04.23	Продукты МойОфис получили более 1000 изменений и улучшений
16.04.23	Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC)
13.04.23	Первая грузовая компания (ПГК) (Корпоративный портал - проекты модернизации)
21.03.23	РЕД АДМ для централизованного управления ИТ-инфраструктурой и мягкой миграции с иностранных ИТ-решений
18.03.23	Фонд развития территорий (ФРТ) (1С-Битрикс: Корпоративный портал)
15.03.23	Iiii Tech самостоятельно мигрировала на ITSM-систему SimpleOne за полтора месяца
14.03.23	Trouw Nutrition Russia (Проекты ИТ-аутсорсинга)
05.03.23	Якутия Авиакомпания (Проекты ИТ-аутсорсинга)
27.02.23	Tutu.ru (Туту.ру Новые Туристические Технологии НТТ) (Nord Clan: KitBot)
17.02.23	Carbon Soft EvaProject
16.02.23	MFlash ПО для защищенного файлового обмена
15.02.23	ALP Group (КТ-АЛП, АЛП-ИС) (ITSM365.ru)
10.02.23	Loginom Аналитическая платформа
05.02.23	Экспобанк (ИСКО Ареопад Информационная система коллегиальных органов)
31.01.23	1200+ улучшений в МойОфис и Mailion
25.01.23	Гарда Предприятие
20.01.23	АДВ консалтинг: FlexIPAM Решение для моделирования и документирования сетей связи