Microsoft предупредила об уязвимостях перехвата контроля над доменами в Active Directory

Компания Microsoft предупредила клиентов о двух уязвимостях повышения привилегий ( CVE-2021-42287 и CVE-2021-42278 ) в службе каталогов Active Directory, эксплуатация которых позволяет злоумышленникам легко перехватывать контроль над доменами Windows.

Предупреждение техногиганта появилось после того, как 11 декабря нынешнего года в Twitter и на GitHub был опубликован PoC-код для эксплуатации данных уязвимостей. Атака позволяет злоумышленникам легко повысить свои привилегии до уровня администратора домена, как только они скомпрометируют обычного пользователя в домене.

Администраторам Windows настоятельно рекомендуется обновить все контроллеры домена, следуя инструкциям и информации, доступным в следующих статьях базы знаний: KB5008102 , KB5008380 и KB5008602 .

Microsoft также поделилась подробным руководством по обнаружению признаков эксплуатации в среде и выявлению потенциально скомпрометированных серверов с помощью расширенного запроса Defender for Identity, который ищет аномальные изменения имени устройства. Пошаговое руководство требует:

• Изменение sAMAccountName основано на событии 4662. Необходимо убедиться, что он включен на контроллере домена для отслеживания таких действий.

• Открыть Microsoft 365 Defender и перейти в Advanced Hunting.

• Скопировать следующий запрос:

IdentityDirectoryEvents  | where Timestamp > ago(1d)  | where ActionType == "SAM Account Name changed"  | extend FROMSAM = parse_json(AdditionalFields)['FR OM SAM Account Name']  | extend TOSAM = parse_json(AdditionalFields)['TO SAM Account Name']  | wh ere (FROMSAM has "$" and TOSAM !has "$")          or TOSAM in ("DC1", "DC2", "DC3", "DC4") // DC Names in the org  | project Timestamp, Application, ActionType, TargetDeviceName, FROMSAM, TOSAM, ReportId, AdditionalFields

• Заменить отмеченную область соглашением об именах контроллеров домена.

• Запустить запрос и проанализировать результаты, которые содержат затронутые устройства. Можно использовать событие Windows 4741, чтобы найти создателя этих устройств, если они новые.

• Исследовать скомпрометированные компьютеры и убедиться, что они не использовались во вредоносных целях.