FOKUS TEKNO – Anda yang memiliki Active Directory (AD) lokal perlu mengetahui cara baru untuk menggunakan Kerberos di jaringan Anda. KrbRelayUp adalah kumpulan alat yang menyederhanakan penggunaan beberapa fitur di Rubeus, KrbRelay, SCMUACBypass, PowerMad/SharpMad, Whisker, dan ADCSPwn. Penyerang menggunakan toolset untuk menyamar sebagai administrator melalui delegasi terbatas berbasis sumber daya dan mengeksekusi kode pada akun sistem perangkat.
Lingkungan Azure AD murni aman dari serangan ini, tetapi jaringan AD hibrid dengan AD lokal dan Azure AD akan berisiko. Jika penyerang mengkompromikan mesin virtual Azure yang disinkronkan dengan direktori aktif lokal, penyerang akan mendapatkan hak istimewa sistem pada mesin virtual dan dapat membuat lebih banyak kemajuan di dalam jaringan.
Microsoft menyarankan Anda mengambil tindakan berikut:
Daftar Isi
Langkah 1: Blokir penyerang agar tidak menggunakan langkah pertama dari urutan serangan
Sementara Microsoft menggunakan frase, “organisasi harus mempertimbangkan” membuat pengaturan tertentu, saya akan menggunakan kata-kata yang lebih kuat. Saya sarankan organisasi Anda membuat perubahan berikut: Setel atribut ms-DS-MachineAccountQuota ke “0”. Pengaturan ini memungkinkan pengguna non-administrator yang berada di grup pengguna yang diautentikasi untuk menambahkan hingga 10 workstation ke jaringan. Di era autopilot dan metodologi instalasi lainnya, pengguna tidak boleh menambahkan workstation ke domain.
Instruksikan administrator AD Anda untuk menggunakan ASDI Edit MMC snap in (adsiedit.msc) dan sambungkan ke Konteks Penamaan Domain. Cari nilai “DC=” dan domain Anda. Klik kanan pada “Properties” dan cari nilai ms-DS-MachineAccountQuota . Anda akan melihatnya pada nilai “10”. Setel nilainya ke “0”.
Atau, Anda dapat mengatur nilainya dengan Windows PowerShell. Pertama, gunakan cmdlet Get-ADObject untuk memeriksa nilainya:
Get-ADObject -Identity ((Get-ADDomain).distinguishedname) `
-Properties ms-DS-MachineAccountQuota
Hasilnya akan menunjukkan kepada Anda berapa nilai jaringan yang ditetapkan.
Gunakan Set-ADomain perintah untuk mengatur nilai:
Set-ADDomain -Identity <DomainName>
-Replace @{"ms-DS-MachineAccountQuota"="0"}
Menyetel ini di “0” menghentikan non-administrator dari menambahkan perangkat baru ke domain dan memastikan bahwa penyerang tidak dapat memulai dengan ini dan harus menggunakan teknik yang lebih sulit untuk mendapatkan akses jaringan.
Langkah 2: Aktifkan pengikatan saluran LDAP dan penandatanganan LDAP
KB4520412 mendokumentasikan langkah selanjutnya yang telah direkomendasikan sebagai praktik terbaik selama beberapa waktu. Termasuk dalam 10 Maret 2020, pembaruan adalah peristiwa baru yang terkait dengan pengikatan saluran LDAP.
Pertama, aktifkan logging tambahan untuk memastikan bahwa Anda dapat menyesuaikan LDAP dan tidak memiliki efek samping. Sekarang Anda seharusnya sudah menginstal pembaruan Windows 10 Maret 2020 di pengontrol domain Anda. Selanjutnya, aktifkan logging diagnostik peristiwa LDAP ke “2” atau lebih tinggi.
Tambahkan kunci registri berikut ke domain untuk mengaktifkan logging:
Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2
Lihat di penampil acara pengontrol domain dan di logging “Aplikasi dan Layanan” dan kemudian di bawah “Layanan Direktori”. Tinjau untuk penandatanganan LDAP dan peristiwa token binding saluran.
LDAP signing events meliputi:
- Event 2886: Keamanan pengontrol domain ini dapat ditingkatkan secara signifikan dengan mengkonfigurasi server untuk menerapkan validasi penandatanganan LDAP.
- Event 2887: Keamanan pengontrol domain ini dapat ditingkatkan dengan mengonfigurasinya untuk menolak permintaan pengikatan LDAP sederhana dan permintaan pengikatan lain yang tidak menyertakan penandatanganan LDAP.
- Event 2888: Keamanan pengontrol domain ini dapat ditingkatkan dengan mengonfigurasinya untuk menolak permintaan pengikatan LDAP sederhana dan permintaan pengikatan lain yang tidak menyertakan penandatanganan LDAP.
- Event 2889: Keamanan pengontrol domain ini dapat ditingkatkan dengan mengonfigurasinya untuk menolak permintaan pengikatan LDAP sederhana dan permintaan pengikatan lain yang tidak menyertakan penandatanganan LDAP.
Channel Binding Token events meliputi:
- Peristiwa 3039: Klien berikut melakukan pengikatan LDAP melalui SSL/TLS dan gagal validasi token pengikatan saluran (CBT) LDAP.
- Peristiwa 3040: Selama periode 24 jam sebelumnya, pengikatan LDAP yang tidak dilindungi dilakukan.
- Peristiwa 3041: Keamanan server direktori ini dapat ditingkatkan secara signifikan dengan mengonfigurasi server untuk menerapkan validasi token pengikatan saluran LDAP.
Perhatikan bahwa pembaruan tidak menerapkan pengaturan. Anda perlu membuat perubahan untuk menerapkan penandatanganan LDAP seperti yang disebutkan dalam ADV19023 , tetapi Anda juga perlu meninjau panduan berikut:
- KB4520412 : Pengikatan saluran LDAP 2020 dan persyaratan penandatanganan LDAP untuk Windows
- KB4034879 : pengikatan saluran LDAP
- KB935834 : penandatanganan LDAP
- KB4546509 : Pertanyaan yang sering diajukan tentang perubahan pada Protokol Akses Direktori Ringan
Setelah Anda menerapkan penandatanganan LDAP, Microsoft mengantisipasi bahwa Anda akan mengalami masalah dengan klien LDAP yang tidak mengaktifkan atau mendukung penandatanganan yang tidak tersambung, dan ikatan sederhana LDAP melalui koneksi non-TLS tidak berfungsi jika penandatanganan LDAP diperlukan. Microsoft juga mengantisipasi bahwa ketika pengikatan saluran LDAP diberlakukan, klien LDAP yang terhubung melalui SSL/TLS tetapi tidak menyediakan CBT akan gagal jika server memerlukan CBT. Sambungan SSL/TLS yang diakhiri oleh server perantara yang pada gilirannya mengeluarkan sambungan baru ke pengontrol domain direktori aktif, akan gagal. Dukungan untuk pengikatan saluran mungkin kurang umum pada sistem operasi dan aplikasi pihak ketiga daripada untuk penandatanganan LDAP.
Seperti yang dicatat Microsoft , tidak ada perubahan yang akan dilakukan pada pengontrol domain Anda; Anda harus membuat perubahan yang diperlukan.
Microsoft Defender untuk Identitas dan KrbRelayUp
Jika Anda memiliki Microsoft Defender for Identity, ia mendeteksi aktivitas dari langkah pertama urutan serangan KrbRelayUp dengan memantau perilaku seperti yang terlihat oleh pengontrol domain. Ini pertama-tama meninjau upaya pendelegasian Kerberos yang mencurigakan oleh komputer yang baru dibuat dan kemudian meninjau suntingan yang mencurigakan dari atribut delegasi terbatas berbasis sumber daya oleh akun mesin.
Melacak jumlah aplikasi klien LDAP yang Anda miliki dan kemungkinan dampaknya mungkin memerlukan waktu, jadi ubah pencatatan dan mulai tinjau dampak apa yang akan ditimbulkan oleh perubahan ini pada jaringan Anda. Membiarkan ini di default dapat mengekspos domain Anda ke serangan yang tidak perlu.
