Onderzoeker vindt lek in Microsoft’s Advanced Threat Analytics platform

Nikil Mattal, een beveiligingsonderzoeker verbonden aan de Pentester Academy, meldt een manier te hebben gevonden om Microsoft’s Advanced Threat Analytics (ATA) platform te omzeilen en beheerdersrechten te verkrijgen. Mattal demonstreert zijn aanval op Black Hat USA in Las Vegas op 26 en 27 juli 2017.

Microsoft ATA is een platform dat allerlei informatie verzameld om malafide activiteiten op het bedrijfsnetwerk proactief te detecteren en beheerders hierover te alarmeren. Zo verzamelt de oplossing gegevens uit Windows Windows Event Logs, SIEM events en communicatie via verschillende protocollen naar de Domain Controller. Het platform zoekt naar mogelijke indicatoren van een cyberaanval, zoals gebruikers die onverwacht opvallend gedrag vertonen. Het ATA platform kan echter ook brute-force aanvallen, Directory Services replicatie, pass-the-hash- en pass-the-ticket-aanvallen en ‘Skeleton Key’ aanvallen detecteren.

Nikhil Mattal zegt tegenover Dark Reading echter een manier te hebben gevonden om ATA te omzeilen en beheerdersrechten te verkrijgen. Details over de aanval wil Mattal nog niet vrijgeven. Wel kondigt hij aan zijn methode te zullen demonstreren op Black Hat USA. Daarnaast gaat Mattal in op andere mogelijke aanvallen op ATA. De onderzoeker heeft zijn bevindingen gemeld bij Microsoft en werkt samen met het bedrijf om het beveiligingsprobleem te verhelpen voordat hij zijn presentatie geeft.