• Skip to main content

Naga Cyber Defense

Trusted Security for all of Indonesia

  • Home
  • About
  • Programs
  • Contact
  • Blog
You are here: Home / Archives for KrbRelayUp

KrbRelayUp

Microsoft membagikan mitigasi untuk serangan Windows KrbRelayUp LPE

May 27, 2022 by Eevee

Microsoft telah berbagi panduan untuk membantu admin mempertahankan lingkungan perusahaan Windows mereka dari serangan KrbRelayUp yang memungkinkan penyerang mendapatkan hak istimewa SISTEM pada sistem Windows dengan konfigurasi default.

Penyerang dapat meluncurkan serangan ini menggunakan alat KrbRelayUp yang dikembangkan oleh peneliti keamanan Mor Davidovich sebagai pembungkus sumber terbuka untuk alat eskalasi hak istimewa Rubeus, KrbRelay, SCMUACBypass, PowerMad/SharpMad, Whisker, dan ADCSPwn.

Sejak akhir April 2022, saat alat ini pertama kali dibagikan di GitHub, pelaku ancaman dapat meningkatkan izin mereka ke SISTEM di lingkungan domain Windows dengan pengaturan default (di mana penandatanganan LDAP tidak diterapkan).

Davidovich merilis versi terbaru dari KrbRelayUp pada hari Senin yang juga berfungsi saat penandatanganan LDAP diberlakukan dan akan memberikan hak istimewa SISTEM kepada penyerang jika Perlindungan Diperpanjang untuk Otentikasi (EPA) untuk Layanan Sertifikat Direktori Aktif (AD CS) tidak diaktifkan.

Microsoft mengatakan bahwa alat eskalasi hak istimewa ini tidak bekerja melawan organisasi dengan lingkungan Azure Active Directory berbasis cloud.

Namun, KrbRelayUp dapat membantu kompromi mesin virtual Azure di lingkungan AD hibrid di mana pengontrol domain disinkronkan dengan Azure AD.

“Meskipun serangan ini tidak akan berfungsi untuk perangkat yang bergabung dengan Azure Active Directory (Azure AD), perangkat gabungan hybrid dengan pengontrol domain lokal tetap rentan,” kata Zeev Rabinovich dan Ofir Shlomo dari Microsoft 365 Defender Research Team.

Microsoft kini telah membagikan panduan kepada publik tentang pemblokiran upaya semacam itu dan mempertahankan jaringan perusahaan dari serangan yang menggunakan pembungkus KrbRelayUp.

Namun, langkah-langkah mitigasi ini juga telah tersedia sebelumnya untuk pelanggan perusahaan dengan langganan Microsoft 365 E5.

Sesuai rekomendasi Redmond, admin harus mengamankan komunikasi antara klien LDAP dan pengontrol domain Active Directory (AD) dengan memberlakukan penandatanganan server LDAP dan mengaktifkan Extended Protection for Authentication (EPA).

Seperti yang dikatakan Microsoft, organisasi disarankan untuk menerapkan mitigasi berikut untuk “mengurangi dampak ancaman ini:”

Microsoft telah memberikan panduan untuk mengaktifkan pengikatan saluran LDAP dan penandatanganan LDAP. Microsoft menyarankan agar administrator mengonfigurasi penandatanganan LDAP dan pengikatan saluran LDAP seperti yang direkomendasikan dalam nasihat tersebut dan dijelaskan secara mendetail dalam pengikatan saluran LDAP 2020 dan persyaratan penandatanganan LDAP untuk Windows (KB4520412).

Organisasi juga harus mempertimbangkan untuk menyetel atribut ms-DS-MachineAccountQuota ke 0 untuk mempersulit penyerang memanfaatkan atribut untuk serangan. Menyetel atribut ke 0 akan menghentikan pengguna non-admin menambahkan perangkat baru ke domain, memblokir metode paling efektif untuk melakukan langkah pertama serangan, dan memaksa penyerang memilih metode yang lebih kompleks untuk memperoleh sumber daya yang sesuai.

Sumber: Bleeping Computer

Tagged With: Azure, KrbRelayUp, LPE

Copyright © 2025 · Naga Cyber Defense · Sitemap

Cookies Settings
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of ALL the cookies.
Do not sell my personal information.
AcceptReject AllCookie Settings
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Functional
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytics
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
CookieDurationDescription
_ga2 yearsThe _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_11 minuteSet by Google to distinguish users.
_gid1 dayInstalled by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
Advertisement
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Others
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
non-necessary
SAVE & ACCEPT
Powered by CookieYes Logo