L’attacco KrbRelayUp ha come obiettivo i domini Active Directory, questi con le impostazioni predefinite sono infatti vulnerabili. Questo tipo di attacco consente l’escalation dei privilegi locali in ambienti di dominio in cui la firma LDAP non viene applicata, cosa resa più semplice anche grazie a del codice pubblicato su GitHub che permette di semplificare l’attacco.
Su GitHub infatti è disponibile proprio uno strumento dedicato per attuare l’attacco.
Microsoft ha pubblicato delle istruzioni in merito.
Come mettere in sicurezza i domini AD
Le istruzioni suggerite da Microsoft riducono l’impatto di un eventuale attacco e ne mitigano gli effetti. Il primo suggerimento è configurare la firma LDAP e la relativa associazione del canale LDAP.
- Riferimento 1: Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing
- Riferimento 2: Requisiti di binding del canale LDAP 2020 e firma LDAP per Windows (KB4520412)
Oltre a considerare l’idea di implementare l’impostazione ms-DS-MachineAccountQuota che impedisce a utenti normali (non amministratori) di aggiungere nuovi dispositivi al dominio, bloccando così il metodo più efficace per un attaccante di veicolare l’attacco.
Ulteriore implementazione utile e suggerita è quella di abilitare la protezione estesa per l’autenticazione, per farlo seguire pedissequamente le istruzioni indicate qui.