#Windows #Microsoft #KrbRelayUp #0day KrbRelayUp: Escalada de | Security News for Everyone

#Windows #Microsoft #KrbRelayUp #0day

KrbRelayUp: Escalada de privilegios en Windows

Este fallo consiste en una escalada de privilegios local en dominios donde el entorno no tiene firmas LDAP habilitadas.

La vulnerabilidad afecta tanto a Windows 10 como a 11 y no existe ningún fix. Windows por defecto trae la configuración vulnerable.

Es recomendable realizar los siguientes pasos:

- Habilitar firmas LPAD y LPAD Channel Binding.

- Poner 0 en el atributo MS-DS-Machine-Account-Quota en AD, haciendo que los usuarios no puedan añadir una nueva cuenta de máquina en el dominio.

- Poner la flag "Account is sensitive and cannot be delegated" en todas las cuentas de admin.

Respuesta de Microsoft y consejo:
https://t.co/1sETyFkahP

Reglas de detección:
https://github.com/elastic/detection-rules/blob/fb6ee2c69864ffdfe347bf3b050cb931f53067a6/rules/windows/privilege_escalation_krbrelayup_suspicious_logon.toml

https://github.com/elastic/detection-rules/blob/main/rules/windows/credential_access_kerberoasting_unusual_process.toml

Más información, reglas y mitigaciones:
https://github.com/Dec0ne/KrbRelayUp

Ejemplo de log:
https://github.com/sbousseaden/EVTX-ATTACK-SAMPLES/blob/master/Privilege%20Escalation/privesc_KrbRelayUp_windows_4624.evtx

Security News for Everyone

🕺 8.61K
Technologies

Canal dedicado a noticias de Seguridad Informática en todos sus ámbitos, free, 24h x 365. Contacto/Contact: secnews4everyone@protonmail.com . Referencias:. https://goo.gl/uhfXtE. https://goo.gl/XvBa...

Join
▲ Vote (1)

#Windows #Microsoft #KrbRelayUp #0day KrbRelayUp: Escalada de | Security News for Everyone

Login