ГИС

Microsoft предупредила об уязвимостях перехвата контроля над доменами в Active Directory

22.12.2021
Microsoft предупредила об уязвимостях перехвата контроля над доменами в Active Directory
Компания Microsoft предупредила клиентов о двух уязвимостях повышения привилегий ( CVE-2021-42287 и CVE-2021-42278 ) в службе каталогов Active Directory, эксплуатация которых позволяет злоумышленникам легко перехватывать контроль над доменами Windows, пишет SecurityLab.

Предупреждение техногиганта появилось после того, как 11 декабря нынешнего года в Twitter и на GitHub был опубликован PoC-код для эксплуатации данных уязвимостей. Атака позволяет злоумышленникам легко повысить свои привилегии до уровня администратора домена, как только они скомпрометируют обычного пользователя в домене.

Администраторам Windows настоятельно рекомендуется обновить все контроллеры домена, следуя инструкциям и информации, доступным в следующих статьях базы знаний: KB5008102 , KB5008380 и KB5008602 .

Microsoft также поделилась подробным руководством по обнаружению признаков эксплуатации в среде и выявлению потенциально скомпрометированных серверов с помощью расширенного запроса Defender for Identity, который ищет аномальные изменения имени устройства. Пошаговое руководство требует:

  • Изменение sAMAccountName основано на событии 4662. Необходимо убедиться, что он включен на контроллере домена для отслеживания таких действий.
  • Открыть Microsoft 365 Defender и перейти в Advanced Hunting.
  • Скопировать следующий запрос:

IdentityDirectoryEvents | where Timestamp > ago(1d) | where ActionType == "SAM Account Name changed" | extend FROMSAM = parse_json(AdditionalFields)['FR OM SAM Account Name'] | extend TOSAM = parse_json(AdditionalFields)['TO SAM Account Name'] | wh ere (FROMSAM has "$" and TOSAM !has "$") or TOSAM in ("DC1", "DC2", "DC3", "DC4") // DC Names in the org | project Timestamp, Application, ActionType, TargetDeviceName, FROMSAM, TOSAM, ReportId, AdditionalFields

  • Заменить отмеченную область соглашением об именах контроллеров домена.
  • Запустить запрос и проанализировать результаты, которые содержат затронутые устройства. Можно использовать событие Windows 4741, чтобы найти создателя этих устройств, если они новые.
  • Исследовать скомпрометированные компьютеры и убедиться, что они не использовались во вредоносных целях.