Skip to main content

Argitalpen data: 2021/12/22

Garrantzia:Altua

Kaltetutako baliabideak:

  • Windows Server 2012 R2 (Server Core Installation);
  • Windows Server 2012 R2;
  • Windows Server 2012 (Server Core Installation);
  • Windows Server 2012;
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation);
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1;
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation);
  • Windows Server 2008 for x64-based Systems Service Pack 2;
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation);
  • Windows Server 2008 for 32-bit Systems Service Pack 2;
  • Windows Server 2016 (Server Core installation);
  • Windows Server 2016;
  • Windows Server, versión 20H2 (Server Core Installation);
  • Windows Server, versión 2004 (Server Core installation);
  • Windows Server 2022 (Server Core installation);
  • Windows Server 2022;
  • Windows Server 2019 (Server Core installation);
  • Windows Server 2019.

Azalpena:

Microsoftek zikloz kanpo ohartarazpen bat argitaratu du azaroan argitaratutako bi ahultasuni buruz. Horiek batera baliatuz gero erasotzaile batek domeinuko pribilegioen eskalatzea egin lezake. Kontzeptu probak abenduan eman dira publikoki ezagutzera.

Konponbidea:

Microsoftek eta CERT-EUk kaltetutako zerbitzariak partxeatzea gomendatzen dute edozein arrisku saihesteko. Gainera gomendagarria da konprobatzea lehenagoko arrisku posible bat.

Microsoftek arrisku posible bat bilatzeko gida bat eskaintzen du Threat Hunting-en kontsultak exekutatuz Microsoft 365 Defender-en:

IdentityDirectoryEvents| where Timestamp > ago(1d)| where ActionType == "SAM Account Name changed"| extend FROMSAM = parse_json(AdditionalFields)['FROM SAM Account Name']| extend TOSAM = parse_json(AdditionalFields)['TO SAM Account Name']| where (FROMSAM has "$" and TOSAM !has "$") or TOSAM in ("DC1", "DC2", "DC3", "DC4") // DC Names in the org| project Timestamp, Application, ActionType, TargetDeviceName, FROMSAM, TOSAM, ReportId, AdditionalFields
  • Markatutako area ordeztu bere domeinu kontrolatzaileen nomenklatura konbentzioagatik.
  • Kontsulta exekutatu eta kaltetutako gailuek dituzten emaitzak aztertu. Windows Event 4741 erabil dezakezu ekipo horien sortzailea aurkitzeko, duela gutxi sortuak izan badira.
  • Arriskuan jarritako ordenagailuak aztertu, erasotzaileek ahultasunetarako exploit-ak garatu eta hedatu ote dituzten jakiteko.

Xehetasuna:

Bi ahultasun horiek batera baliatuz gero, erasotzaile batek domeinuko pribilegioen eskalatzea egin lezake:

  • Active Directory-k (AD) hainbat nomenklatura eskema erabiltzen ditu objektu zehatz batentzat, esate baterako userPrincipalName (UPN) eta sAMAccountName (SAM-Account), eta euren izenak '$' batez amaitzen dira 'user objects' eta 'computer objects'-en artean bereizteko. Ez dago murrizpenik edo balidaziorik atributu hori aldatzeko eta $ karakterea sartzeko edo ez. Ondorioz, lehenetsitako konfigurazioarekin, erabiltzaile normal batek baimena dauka makina kontu bat aldatzeko (10 makinako kopururaino) eta bere sAMAccountName atributua editatzeko. CVE-2021-42278 identifikatzailea esleitu zaio.
  • Kerberos-en bidez autentifikazio bat egiten denean, Ticket-Granting-Ticket (TGT) eta Ticket-Granting-Service eskatzen dira Gakoak Hedatzeko Zentrotik (KDC). Aurkitu ezin izan den TGS bat eskatuz gero, KDC berriz saiatuko da bilatzen amaieran $ bat duela. Erasotzaile batek makina kontu bat sor lezake, bere SAM kontuaren izena aldatu Domeinu Kontrolatzaile baten izenarekin amaieran $ idatzi gabe, eta TGT bat eskatu. Ondoren, erasotzaileak SAM kontuaren izena beste izen ezberdin batekin berrizenda lezake, eta TGS ticket bat eskatu TGT baliagarria aurkeztuz, horrela, eskaera prozesuan zehar KDCk ticket bat jaulki dezan ordeztutako Domeinu Kontrolatzailearen pribilegioak erabiliz. Ahultasun horretarako CVE-2021-42287 identifikatzailea erabili da.

Encuesta valoración

Etiketak:Eguneraketa, Microsoft, Ahultasuna, Windows

Partekatu

Linkedin partekatu