Jump to content

Microsoft предупредила об уязвимостях перехвата контроля над доменами в Active Directory


security147

Recommended Posts

Microsoft предупредила об уязвимостях перехвата контроля над доменами в Active Directory

07:52 / 22 Декабря, 2021 2021-12-22T08:52:26+03:00

Alexander Antipov

Уязвимости позволяют легко повысить привилегии до уровня администратора домена.

https://www.securitylab.ru/upload/iblock/539/539f1a05e2973df9a4b32433214a3592.jpg

Компания Microsoft предупредила клиентов о двух уязвимостях повышения привилегий ( CVE-2021-42287 и CVE-2021-42278 ) в службе каталогов Active Directory, эксплуатация которых позволяет злоумышленникам легко перехватывать контроль над доменами Windows.

Предупреждение техногиганта появилось после того, как 11 декабря нынешнего года в Twitter и на GitHub был опубликован PoC-код для эксплуатации данных уязвимостей. Атака позволяет злоумышленникам легко повысить свои привилегии до уровня администратора домена, как только они скомпрометируют обычного пользователя в домене.

Администраторам Windows настоятельно рекомендуется обновить все контроллеры домена, следуя инструкциям и информации, доступным в следующих статьях базы знаний: KB5008102 , KB5008380 и KB5008602 .

Microsoft также поделилась подробным руководством по обнаружению признаков эксплуатации в среде и выявлению потенциально скомпрометированных серверов с помощью расширенного запроса Defender for Identity, который ищет аномальные изменения имени устройства. Пошаговое руководство требует:

  • Изменение sAMAccountName основано на событии 4662. Необходимо убедиться, что он включен на контроллере домена для отслеживания таких действий.

  • Открыть Microsoft 365 Defender и перейти в Advanced Hunting.

  • Скопировать следующий запрос:

IdentityDirectoryEvents  | where Timestamp > ago(1d)  | where ActionType == "SAM Account Name changed"  | extend FROMSAM = parse_json(AdditionalFields)['FR OM SAM Account Name']  | extend TOSAM = parse_json(AdditionalFields)['TO SAM Account Name']  | wh ere (FROMSAM has "$" and TOSAM !has "$")          or TOSAM in ("DC1", "DC2", "DC3", "DC4") // DC Names in the org  | project Timestamp, Application, ActionType, TargetDeviceName, FROMSAM, TOSAM, ReportId, AdditionalFields
  • Заменить отмеченную область соглашением об именах контроллеров домена.

  • Запустить запрос и проанализировать результаты, которые содержат затронутые устройства. Можно использовать событие Windows 4741, чтобы найти создателя этих устройств, если они новые.

  • Исследовать скомпрометированные компьютеры и убедиться, что они не использовались во вредоносных целях.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Adblock test (Why?)

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...