È stato rilevato un attacco di replay (4649) e Exchange Healthmailbox

0

Abbiamo ricevuto allarmi per questo nel nostro SIEM oggi. Credo che sia previsto e solo "rumore". L'allarme è stato attivato immediatamente dopo che Exchange ha eliminato ThrottlingConfig.log.

So che Exchange Server 2013 CU5, CU5 include una configurazione di probe disponibilità gestita che riavvia frequentemente il servizio cache condivisa di Microsoft Exchange in alcuni ambienti. Il servizio viene aggiunto per fornire miglioramenti delle prestazioni future e non viene utilizzato nell'aggiornamento cumulativo 5. Ulteriori informazioni sono disponibili in KB2971467

Quindi sembra che questo allarme attivato dall'evento sia un falso positivo. Qualcun altro lo sperimenta?

http://schemas.microsoft.com/win/2004/08/events/event'>46490InformationOther Logon/Logoff EventsInfoAudit Failure79125070SecurityDOMAINA replay attack was detected.\r\n\r\nSubject:\r\n\tSecurity ID:\t\tNT AUTHORITY\SYSTEM\r\n\tAccount Name:\t\tSERVERNAME$\r\n\tAccount Domain:\t\tDOMAIN\r\n\tLogon ID:\t\t0x3E7\r\n\r\nCredentials Which Were Replayed:\r\n\tAccount Name:\t\tHealthMailboxXXXXX\r\n\tAccount Domain:\t\tDOMAIN\r\n\r\nProcess Information:\r\n\tProcess ID:\t\t0x673b81d620\r\n\tProcess Name:\t\tC:\Windows\System32\inetsrv\w3wp.exe\r\n\r\nNetwork Information:\r\n\tWorkstation Name:\t-\r\n\r\nDetailed Authentication Information:\r\n\tRequest Type:\t\tKRB_AP_REQ\r\n\tLogon Process:\t\tKerberos\r\n\tAuthentication Package:\tKerberos\r\n\tTransited Services:\t-\r\n\r\nThis event indicates that a Kerberos replay attack was detected- a request was received twice with identical information. This condition could be caused by network misconfiguration.

    
posta Lee 21.09.2018 - 16:01
fonte

1 risposta

0

Un elemento da verificare è se un risultato sia o meno un falso positivo. La parte finale del log indica una cautela dei risultati:

This event indicates that a Kerberos replay attack was detected
- a request was received twice with identical information.
This condition could be caused by network misconfiguration.

I documenti della guida di Microsoft al link consigliano anche di fare un indagine manuale come parte del controllo per vedere se questo è un falso positivo.

Ho eseguito scansioni che sono finite con falsi positivi e hanno richiesto ulteriori controlli.

    
risposta data 25.09.2018 - 23:19
fonte

Leggi altre domande sui tag