Come proteggere i domini AD dall’attacco KrbRelayUp 

L’attacco KrbRelayUp ha come obiettivo i domini Active Directory, questi con le impostazioni predefinite sono infatti vulnerabili. Questo tipo di attacco consente l’escalation dei privilegi locali in ambienti di dominio in cui la firma LDAP non viene applicata, cosa resa più semplice anche grazie a del codice pubblicato su GitHub che permette di semplificare l’attacco.

Su GitHub infatti è disponibile proprio uno strumento dedicato per attuare l’attacco.

Schermata dello strumento KrbRelayUp in uso

Microsoft ha pubblicato delle istruzioni in merito.

Come mettere in sicurezza i domini AD

Le istruzioni suggerite da Microsoft riducono l’impatto di un eventuale attacco e ne mitigano gli effetti. Il primo suggerimento è configurare la firma LDAP e la relativa associazione del canale LDAP.

Oltre a considerare l’idea di implementare l’impostazione ms-DS-MachineAccountQuota che impedisce a utenti normali (non amministratori) di aggiungere nuovi dispositivi al dominio, bloccando così il metodo più efficace per un attaccante di veicolare l’attacco.

Ulteriore implementazione utile e suggerita è quella di abilitare la protezione estesa per l’autenticazione, per farlo seguire pedissequamente le istruzioni indicate qui.

Articoli Correlati

Copilot Voice ora disponibile gratuitamente per tutti

Come avviare una distro live di KUbuntu per salvare i propri dati

Gli antivirus migliori del 2024