FOKUS CYBER SECURITY – Anda yang memiliki Active Directory (AD) lokal perlu mengetahui cara baru untuk menyalahgunakan Kerberos di jaringan Anda. KrbRelayUp adalah bundel alat yang merampingkan penggunaan beberapa fitur di Rubeus, KrbRelay, SCMUACBypass, PowerMad/SharpMad, Whisker, dan ADCSPwn. Penyerang menggunakan toolset untuk menyamar sebagai administrator melalui delegasi terbatas berbasis sumber daya dan mengeksekusi kode pada akun sistem perangkat.
Lingkungan Azure AD murni aman dari serangan ini, tetapi jaringan AD hibrid dengan AD lokal dan Azure AD akan berisiko. Jika penyerang membahayakan komputer virtual Azure yang disinkronkan dengan direktori aktif lokal, penyerang akan mendapatkan hak istimewa sistem pada komputer virtual dan dapat membuat lebih banyak kemajuan di dalam jaringan.
Microsoft menyarankan Anda untuk melakukan tindakan berikut:
Daftar Isi
1. Blokir penyerang agar tidak menggunakan langkah pertama dari urutan serangan
Sementara Microsoft menggunakan frasa, “organisasi harus mempertimbangkan” membuat pengaturan tertentu, saya akan menggunakan kata-kata yang jauh lebih kuat. Saya sarankan organisasi Anda membuat perubahan berikut: Atur atribut ms-DS-MachineAccountQuota ke “0”. Pengaturan ini memungkinkan pengguna non-administrator yang berada dalam grup pengguna yang diautentikasi untuk menambahkan hingga 10 stasiun kerja ke jaringan. Di era autopilot dan metodologi instalasi lainnya ini, pengguna tidak boleh menambahkan workstation ke domain.
Instruksikan administrator AD Anda untuk menggunakan snap in ASDI Edit MMC (adsiedit.msc) dan sambungkan ke Konteks Penamaan Domain. Cari nilai “DC=” dan domain Anda. Klik kanan pada “Properties” dan cari nilai ms-DS-MachineAccountQuota. Anda akan melihatnya pada nilai “10”. Atur nilainya ke “0”.
Atau, Anda dapat mengatur nilai dengan Windows PowerShell. Pertama, gunakan cmdlet Get-ADObject untuk memeriksa nilainya:
Get-ADObject -Identity ((Get-ADDomain).distinguishedname) `
-Properties ms-DS-MachineAccountQuota
Hasilnya akan menunjukkan kepada Anda pada nilai apa yang ditetapkan jaringan.
Gunakan perintah untuk mengatur nilai:Set-ADomain
Set-ADDomain -Identity <DomainName>
-Replace @{"ms-DS-MachineAccountQuota"="0"}
Mengatur ini di “0” menghentikan non-administrator dari menambahkan perangkat baru ke domain dan memastikan bahwa penyerang tidak dapat memulai dengan ini dan harus menggunakan teknik yang lebih sulit untuk mendapatkan akses jaringan.
2. Aktifkan pengikatan saluran LDAP dan penandatanganan LDAP
KB4520412 mendokumentasikan langkah-langkah selanjutnya yang telah direkomendasikan sebagai praktik terbaik selama beberapa waktu. Termasuk dalam pembaruan 10 Maret 2020, update adalah peristiwa baru yang terkait dengan pengikatan saluran LDAP.
Pertama aktifkan logging tambahan untuk memastikan bahwa Anda dapat menyesuaikan LDAP dan tidak memiliki efek samping. Sekarang Anda harus menginstal pembaruan Windows 10 Maret 2020 pada pengontrol domain Anda. Selanjutnya, aktifkan pencatatan diagnostik peristiwa LDAP ke “2” atau yang lebih tinggi.
Tambahkan kunci registri berikut ini ke domain untuk mengaktifkan pengelogan:
Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2
Lihat di penampil peristiwa pengontrol domain dan di pengelogan “Aplikasi dan Layanan” dan kemudian di bawah “Layanan Direktori”. Tinjau peristiwa token penandatanganan LDAP dan pengikatan saluran.
Peristiwa penandatanganan LDAP meliputi:
- Peristiwa 2886: Keamanan pengontrol domain ini dapat ditingkatkan secara signifikan dengan mengonfigurasi server untuk menerapkan validasi penandatanganan LDAP.
- Peristiwa 2887: Keamanan pengontrol domain ini dapat ditingkatkan dengan mengonfigurasinya untuk menolak permintaan pengikatan LDAP sederhana dan permintaan pengikatan lainnya yang tidak menyertakan penandatanganan LDAP.
- Peristiwa 2888: Keamanan pengontrol domain ini dapat ditingkatkan dengan mengonfigurasinya untuk menolak permintaan pengikatan LDAP sederhana dan permintaan pengikatan lainnya yang tidak menyertakan penandatanganan LDAP.
- Peristiwa 2889: Keamanan pengontrol domain ini dapat ditingkatkan dengan mengonfigurasinya untuk menolak permintaan pengikatan LDAP sederhana dan permintaan pengikatan lainnya yang tidak menyertakan penandatanganan LDAP.
Peristiwa Token Pengikatan Saluran meliputi:
- Peristiwa 3039: Klien berikut melakukan ikatan LDAP melalui SSL/TLS dan gagal dalam validasi token pengikatan saluran LDAP (CBT).
- Peristiwa 3040: Selama periode 24 jam sebelumnya, ikatan LDAP yang tidak terlindungi dilakukan.
- Peristiwa 3041: Keamanan server direktori ini dapat ditingkatkan secara signifikan dengan mengonfigurasi server untuk menerapkan validasi token pengikatan saluran LDAP.
Perhatikan bahwa pembaruan tidak menerapkan pengaturan. Anda perlu membuat perubahan untuk menerapkan penandatanganan LDAP seperti yang disebutkan di ADV19023, tetapi Anda juga ingin meninjau panduan berikut:
- KB4520412: Persyaratan pengikatan saluran LDAP dan penandatanganan LDAP 2020 untuk Windows
- KB4034879: Pengikatan saluran LDAP
- KB935834: Penandatanganan LDAP
- KB4546509: Pertanyaan umum tentang perubahan pada Lightweight Directory Access Protocol
Setelah menerapkan penandatanganan LDAP, Microsoft mengantisipasi bahwa Anda akan mengalami masalah dengan klien LDAP yang tidak mengaktifkan atau mendukung penandatanganan tidak terhubung, dan LDAP hanya mengikat koneksi non-TLS yang tidak berfungsi jika penandatanganan LDAP diperlukan.
Microsoft juga mengantisipasi bahwa ketika pengikatan saluran LDAP diberlakukan, klien LDAP yang terhubung melalui SSL/TLS tetapi tidak memberikan CBT akan gagal jika server memerlukan CBT.
Koneksi SSL/TLS yang diakhiri oleh server perantara yang pada gilirannya mengeluarkan koneksi baru ke pengontrol domain Active Directory, akan gagal.
Dukungan untuk pengikatan saluran mungkin kurang umum pada sistem operasi dan aplikasi pihak ketiga daripada untuk penandatanganan LDAP.
Seperti yang dicatat Microsoft, tidak ada perubahan yang akan dilakukan pada pengontrol domain Anda; Anda harus membuat perubahan yang diperlukan.
Pertahanan Microsoft untuk Identitas dan KrbRelayUp
Jika Anda memiliki Pertahanan Microsoft untuk Identitas, ia mendeteksi aktivitas dari langkah pertama urutan serangan KrbRelayUp dengan memantau perilaku seperti yang terlihat oleh pengontrol domain.
Ini pertama-tama meninjau upaya delegasi Kerberos yang mencurigakan oleh komputer yang baru dibuat dan kemudian meninjau pengeditan yang mencurigakan dari atribut delegasi terbatas berbasis sumber daya oleh akun mesin.
Melacak jumlah aplikasi klien LDAP yang Anda miliki dan kemungkinan dampaknya mungkin memerlukan waktu, jadi ubah logging dan mulailah meninjau dampak apa yang akan terjadi pada perubahan ini di jaringan Anda. Membiarkan ini di default dapat mengekspos domain Anda ke serangan yang tidak perlu.