Уязвимости позволяют легко повысить привилегии до уровня администратора домена.
Компания Microsoft предупредила клиентов о двух уязвимостях повышения привилегий ( CVE-2021-42287 и CVE-2021-42278 ) в службе каталогов Active Directory, эксплуатация которых позволяет злоумышленникам легко перехватывать контроль над доменами Windows.
Предупреждение техногиганта появилось после того, как 11 декабря нынешнего года в Twitter и на GitHub был опубликован PoC-код для эксплуатации данных уязвимостей. Атака позволяет злоумышленникам легко повысить свои привилегии до уровня администратора домена, как только они скомпрометируют обычного пользователя в домене.
Администраторам Windows настоятельно рекомендуется обновить все контроллеры домена, следуя инструкциям и информации, доступным в следующих статьях базы знаний: KB5008102 , KB5008380 и KB5008602 .
Microsoft также поделилась подробным руководством по обнаружению признаков эксплуатации в среде и выявлению потенциально скомпрометированных серверов с помощью расширенного запроса Defender for Identity, который ищет аномальные изменения имени устройства. Пошаговое руководство требует:
-
Изменение sAMAccountName основано на событии 4662. Необходимо убедиться, что он включен на контроллере домена для отслеживания таких действий.
-
Открыть Microsoft 365 Defender и перейти в Advanced Hunting.
-
Скопировать следующий запрос:
Изменение sAMAccountName основано на событии 4662. Необходимо убедиться, что он включен на контроллере домена для отслеживания таких действий.
Открыть Microsoft 365 Defender и перейти в Advanced Hunting.
Скопировать следующий запрос:
IdentityDirectoryEvents | where Timestamp > ago(1d) | where ActionType == "SAM Account Name changed" | extend FROMSAM = parse_json(AdditionalFields)['FR OM SAM Account Name'] | extend TOSAM = parse_json(AdditionalFields)['TO SAM Account Name'] | wh ere (FROMSAM has "$" and TOSAM !has "$") or TOSAM in ("DC1", "DC2", "DC3", "DC4") // DC Names in the org | project Timestamp, Application, ActionType, TargetDeviceName, FROMSAM, TOSAM, ReportId, AdditionalFieldsIdentityDirectoryEvents | where Timestamp > ago(1d) | where ActionType == "SAM Account Name changed" | extend FROMSAM = parse_json(AdditionalFields)['FR OM SAM Account Name'] | extend TOSAM = parse_json(AdditionalFields)['TO SAM Account Name'] | wh ere (FROMSAM has "$" and TOSAM !has "$") or TOSAM in ("DC1", "DC2", "DC3", "DC4") // DC Names in the org | project Timestamp, Application, ActionType, TargetDeviceName, FROMSAM, TOSAM, ReportId, AdditionalFields
-
Заменить отмеченную область соглашением об именах контроллеров домена.
-
Запустить запрос и проанализировать результаты, которые содержат затронутые устройства. Можно использовать событие Windows 4741, чтобы найти создателя этих устройств, если они новые.
-
Исследовать скомпрометированные компьютеры и убедиться, что они не использовались во вредоносных целях.
Заменить отмеченную область соглашением об именах контроллеров домена.
Запустить запрос и проанализировать результаты, которые содержат затронутые устройства. Можно использовать событие Windows 4741, чтобы найти создателя этих устройств, если они новые.
Исследовать скомпрометированные компьютеры и убедиться, что они не использовались во вредоносных целях.
Источник: securitylab
