2022-05-10 21:59:19
#Windows #Microsoft #KrbRelayUp #0day
KrbRelayUp: Escalada de privilegios en Windows
Este fallo consiste en una escalada de privilegios local en dominios donde el entorno no tiene firmas LDAP habilitadas.
La vulnerabilidad afecta tanto a Windows 10 como a 11 y no existe ningún fix. Windows por defecto trae la configuración vulnerable.
Es recomendable realizar los siguientes pasos:
- Habilitar firmas LPAD y LPAD Channel Binding.
- Poner 0 en el atributo MS-DS-Machine-Account-Quota en AD, haciendo que los usuarios no puedan añadir una nueva cuenta de máquina en el dominio.
- Poner la flag "Account is sensitive and cannot be delegated" en todas las cuentas de admin.
Respuesta de Microsoft y consejo:
https://t.co/1sETyFkahP
Reglas de detección:
https://github.com/elastic/detection-rules/blob/fb6ee2c69864ffdfe347bf3b050cb931f53067a6/rules/windows/privilege_escalation_krbrelayup_suspicious_logon.toml
https://github.com/elastic/detection-rules/blob/main/rules/windows/credential_access_kerberoasting_unusual_process.toml
Más información, reglas y mitigaciones:
https://github.com/Dec0ne/KrbRelayUp
Ejemplo de log:
https://github.com/sbousseaden/EVTX-ATTACK-SAMPLES/blob/master/Privilege%20Escalation/privesc_KrbRelayUp_windows_4624.evtx
1.7K viewsedited 18:59