Home Windows Server Come proteggere i domini AD dall’attacco KrbRelayUp 

Come proteggere i domini AD dall’attacco KrbRelayUp 

da Alvise C.

L’attacco KrbRelayUp ha come obiettivo i domini Active Directory, questi con le impostazioni predefinite sono infatti vulnerabili. Questo tipo di attacco consente l’escalation dei privilegi locali in ambienti di dominio in cui la firma LDAP non viene applicata, cosa resa più semplice anche grazie a del codice pubblicato su GitHub che permette di semplificare l’attacco.

Su GitHub infatti è disponibile proprio uno strumento dedicato per attuare l’attacco.

Come proteggere i domini AD dall'attacco KrbRelayUp 
Schermata dello strumento KrbRelayUp in uso

Microsoft ha pubblicato delle istruzioni in merito.

Come mettere in sicurezza i domini AD

Le istruzioni suggerite da Microsoft riducono l’impatto di un eventuale attacco e ne mitigano gli effetti. Il primo suggerimento è configurare la firma LDAP e la relativa associazione del canale LDAP.

Oltre a considerare l’idea di implementare l’impostazione ms-DS-MachineAccountQuota che impedisce a utenti normali (non amministratori) di aggiungere nuovi dispositivi al dominio, bloccando così il metodo più efficace per un attaccante di veicolare l’attacco.

Ulteriore implementazione utile e suggerita è quella di abilitare la protezione estesa per l’autenticazione, per farlo seguire pedissequamente le istruzioni indicate qui.

Non perdere questi contenuti:

Lascia un commento