Microsoft Defender for Identity ist ein mächtiges Werkzeug wenn es darum geht Änderungen an Benutzern und Gruppen im on-prem Active Directory zu identifizieren. Wenn man diese Daten im Microsoft 365 Defender Portal mittels Advanced Hunting analysiert und Custom Detection Rules nutzt kann man sehr einfach ein Change Tracking für sensitive Accounts etablieren.

Wenn du ein on-prem Active Directory beschützt sind Änderungen an hochprivilegierten Gruppen ein großes Risiko. Microsoft selbst definiert einen Teil dieser Gruppen in der Dokumentation zu Active Directory Domain Services in in der Defender for Identity Dokumentation werden zusätzliche Gruppen genannt. Insgesamt sind dies 17 Gruppen bei denen Änderungen überwacht werden sollten.

Der Feodo Tracker von abuse.ch liefert eine Liste von IP-Adressen, die aktiv als C2-Server verwendet werden. Mit MDE und ein wenig Automatisierung kann man ganz einfach verhindern, dass sich Clients mit diesen Servern verbinden können und zusätzlich einen Alarm erhalten, wenn sie dies versuchen.

Microsoft Defender for Identity ist ein sehr hilfreiches Tool um einen tiefen Einblick in eine Active Directory Umgebung zu erlangen. Die, auf jedem Domain Controller installierten, Agents sammeln dabei unter anderem Informationen direkt aus dem Netzwerkverkehr des Servers und leiten diese an Microsoft Defender weiter.

Für die Analyse nutzt der Agent standardmäßig den WinPcap Treiber. Dieser führt auf einem Windows Server 2022 schon bei mäßiger Auslastung zu folgender Fehlermeldung:

Vulnerability assesment by MSRC

Severity	Important
Security Impact	Security Feature Bypass

Scope of the security vulnerability

This article describes a security vulnerability that allowed an authenticated Microsoft 365 user to bypass additional protective measures based on sensitivity labels to download content to an unmanaged device. The user could not access files that she otherwise would not have access to.

If you don’t want a recap on what sensitivity labels are or how to setup the environment you can skip ahead to the test result or to the findings.

In this blog, I want to discuss one mitigation technique for the attack DPERSIST1 better known as “golden certificate”.

A user with administrative permissions is able to create Defender AV exclusions without using the Add-MPPrefence cmdlet. Because of the way the exclusion is created, most public guidelines and hunting queries on detecting this kind of change won’t detect it.

Even more troubling is the fact that Microsoft Defender for Endpoint will not log any of those changes made. Therefore it’s not easy to detect and could go undetected for security personnel which relies on those queries and products.