Microsoft предупреждава за лесно превземане на домейн на Windows чрез грешки в Active Directory – 22.12.2021

Microsoft предупреждава клиентите си да коригират два недостатъка в сигурността на ескалация на привилегиите на услугата Active Directory, които, когато се комбинират, позволяват на нападателите лесно да превземат домейни на Windows.

Компанията публикува актуализации на сигурността, за да отстрани двете уязвимости в сигурността (проследени като CVE-2021-42287 и CVE-2021-42278) по време на корекцията от ноември 2021 г.  November 2021 Patch Tuesday

Незабавно да се коригират две грешки, които позволяват на нападателите да се представят за контролери на домейни. Този  инструмент за доказване на концепцията (PoC), който може да използва тези уязвимости, беше споделен в Twitter и GitHub на 11 декември.

Когато комбинира тези две уязвимости, нападателят може да създаде ясен път към потребител на домейн администратор в среда на Active Directory, която не е приложила тези нови актуализации, обяснява Microsoft.

Тази атака на ескалация позволява на нападателите лесно да издигнат привилегията си до тази на администратор на домейн, след като компрометират обикновен потребител в домейна.

Администраторите на Windows са призовани да актуализират устройства, изложени на атаки, като използват стъпките и информацията, описани подробно в следните статии: KB5008102KB5008380KB5008602.

Изследователи, тествали PoC, заявиха, че са били в състояние лесно да използват инструмента за ескалиране на привилегиите от стандартен потребител на Active Directory до администратор на домейн в конфигурации по подразбиране.

Microsoft също така сподели подробни насоки за откриване на признаци на експлоатация във вашата среда и идентифициране на потенциално компрометирани сървъри с помощта на разширена заявка за търсене на Defender for Identity, която търси необичайни промени в името на устройството.

Ръководството стъпка по стъпка изисква от защитниците:

Промяната на sAMAccountName се основава на събитие 4662. Моля, уверете се, че сте го активирали на домейн контролера, за да улавя такива дейности. Научете повече за това как да го направите тук:

Отворете Microsoft 365 Defender и отворете  Advanced Hunting.

Копирайте следната заявка (която също е налична в заявката за разширения на Microsoft 365 Defender GitHub) Advanced Hunting query:

Заменете маркираната област с конвенцията за именуване на вашите домейн контролери. Изпълнете заявката и анализирайте резултатите, които съдържат засегнатите устройства. Можете да използвате e Windows Event 4741, за да намерите създателя на тези машини, ако те са новосъздадени.

„Нашият изследователски екип продължава усилията си за създаване на повече начини за откриване на тези уязвимости,  чрез заявки, или чрез откриване извън кутията“, добавят от Microsoft added .

More information:

https://www.bleepingcomputer.com/news/microsoft/microsoft-warns-of-easy-windows-domain-takeover-via-active-directory-bugs/