Η Microsoft μοιράστηκε οδηγίες για να βοηθήσει τους διαχειριστές να υπερασπιστούν τα εταιρικά περιβάλλοντα Windows από επιθέσεις KrbRelayUp που επιτρέπουν στους εισβολείς να αποκτήσουν δικαιώματα SYSTEM σε συστήματα Windows με προεπιλεγμένες διαμορφώσεις.
εισβολείς μπορούν να εξαπολύσουν αυτήν την επίθεση χρησιμοποιώντας το εργαλείο KrbRelayUp που αναπτύχθηκε από τον ερευνητή ασφαλείας Mor Davidovich ως περιτύλιγμα ανοιχτού κώδικα για εργαλεία κλιμάκωσης προνομίων Rubeus, KrbRelay, SCMUACBypass, PowerMad/SharpMad, Whisker και ADCSPwn.
Από τα τέλη Απριλίου 2022, όταν το εργαλείο κοινοποιήθηκε για πρώτη φορά στο GitHub, οι φορείς απειλών μπορούσαν να κλιμακώσουν τα δικαιώματα τους στο SYSTEM σε περιβάλλοντα τομέα Windows με προεπιλεγμένες ρυθμίσεις (όπου δεν επιβάλλεται η υπογραφή LDAP).
Ο Davidovich κυκλοφόρησε μια ενημερωμένη έκδοση του KrbRelayUp τη Δευτέρα που λειτουργεί επίσης όταν επιβάλλεται η υπογραφή LDAP και θα παρέχει στους εισβολείς δικαιώματα SYSTEM εάν δεν είναι ενεργοποιημένη η Εκτεταμένη προστασία για έλεγχο ταυτότητας (EPA) για τις υπηρεσίες πιστοποιητικών Active Directory (AD CS).
Η Microsoft λέει ότι αυτό το εργαλείο κλιμάκωσης προνομίων δεν λειτουργεί σε οργανισμούς με περιβάλλοντα Azure Active Directory που βασίζονται σε cloud.
Ωστόσο, το KrbRelayUp μπορεί να συμβάλει στην παραβίαση εικονικών μηχανών Azure σε υβριδικά περιβάλλοντα AD όπου οι ελεγκτές τομέα συγχρονίζονται με το Azure AD.
“Παρόλο που αυτή η επίθεση δεν θα λειτουργήσει για συσκευές που συνδέονται με το Azure Active Directory (Azure AD), οι υβριδικές συνδεδεμένες συσκευές με ελεγκτές τομέα εσωτερικής εγκατάστασης παραμένουν ευάλωτες”, είπαν οι Zeev Rabinovich και Ofir Shlomo της ερευνητικής ομάδας του Microsoft 365 Defender.
“Εάν ένας εισβολέας παραβιάσει μια εικονική μηχανή Azure χρησιμοποιώντας έναν συγχρονισμένο λογαριασμό, θα λάβει προνόμια SYSTEM στην εικονική μηχανή.”