首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】Windows Active Directory 域服務權限提升漏洞(CVE-2021-42278)

發布時間 2021-12-21


0x00 漏洞概述

CVE     ID

CVE-2021-42278

時      間

2021-11-09

類      型

權限提升

等      級

高危

遠程利用

影響范圍


攻擊復雜度

可用性

用戶交互

 

所需權限

PoC/EXP

已公開

在野利用


 

0x01 漏洞詳情

image.png

2021年12月20日,微軟披露了Windows Active Directory 域服務權限提升漏洞(CVE-2021-42287和CVE-2021-42278)的漏洞細節,并警告客戶及時修復這2個漏洞。當結合這2個漏洞時,攻擊者可以在沒有應用補丁的 Active Directory 環境中創建一個直接訪問域管理員用戶的路徑,在攻擊域中的普通用戶后輕松將其權限提升為域管理員權限,最終接管Windows域。

這2個漏洞都是微軟11月9日補丁日中修復的,CVSS評分均為7.5。其中CVE-2021-42278是一個安全繞過漏洞,該漏洞允許攻擊者使用計算機帳戶sAMAccountName欺騙來冒充域控制器(SAM名稱模擬)。CVE-2021-42287是影響Kerberos特權屬性證書(PAC)的安全繞過漏洞,允許攻擊者冒充域控制器(KDC欺騙)。

12 月 11 日,這2個漏洞的細節和PoC/EXP已在互聯網上公開。經過身份驗證的遠程攻擊者可以結合這2個漏洞在默認配置的情況下將普通權限提升到域管理員權限。

image.png

 

影響范圍

CVE-2021-42287、CVE-2021-42278:

Windows Server, version 20H2 (Server Core Installation)

Windows Server, version 2004 (Server Core installation)

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

 

0x02 處置建議

目前這些漏洞已在微軟11月9日發布的安全更新中修復,建議啟用Windows自動更新或手動下載安裝補丁。

下載鏈接:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42278

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42287

 

此外,微軟還分享了這2個漏洞的利用檢測分步指南:

1.sAMAccountName 更改基于事件 4662,請確保在域控制器上啟用它以捕獲此類活動。

2. 打開 Microsoft 365 Defender 并導航到Advanced Hunting。

3.復制以下查詢(也可在 Microsoft 365 Defender GitHub高級狩獵查詢中找到),查找異常設備名稱更改:

IdentityDirectoryEvents

| where Timestamp > ago(1d)

| where ActionType == "SAM Account Name changed"

| extend FROMSAM = parse_json(AdditionalFields)['FROM SAM Account Name']

| extend TOSAM = parse_json(AdditionalFields)['TO SAM Account Name']

| where (FROMSAM has "$" and TOSAM !has "$")

        or TOSAM in ("DC1", "DC2", "DC3", "DC4") // DC Names in the org

| project Timestamp, Application, ActionType, TargetDeviceName, FROMSAM, TOSAM, ReportId, AdditionalFields

4.用域控制器的命名約定替換標記區域

5.運行查詢并分析包含受影響設備的結果??梢允褂肳indows 事件 4741查找這些計算機的創建者(如果它們是新創建的)。

6.建議調查這些被感染的計算機并確定它們沒有被武器化。

7.確保使用以下知識庫文章中詳述的步驟和信息更新遭受攻擊的設備:KB5008102、KB5008380、KB5008602。

 

0x03 參考鏈接

https://techcommunity.microsoft.com/t5/security-compliance-and-identity/sam-name-impersonation/ba-p/3042699

https://twitter.com/safe_buffer/status/1469742616505954323

https://support.microsoft.com/en-us/topic/kb5008102-active-directory-security-accounts-manager-hardening-changes-cve-2021-42278-5975b463-4c95-45e1-831a-d120004e258e

https://www.bleepingcomputer.com/news/microsoft/microsoft-warns-of-easy-windows-domain-takeover-via-active-directory-bugs/

 

0x04 更新版本

版本

日期

修改內容

V1.0

2021-12-21

首次發布

 

0x05 關于我們

公司簡介

啟明星辰公司成立于1996年,并于2010年6月23日在深交所中小板正式掛牌上市,是國內最具實力的信息安全產品和安全管理平臺、安全服務與解決方案的領航企業之一。

公司總部位于北京市中關村軟件園,在全國各省、市、自治區設立分支機構六十多個,擁有覆蓋全國的銷售體系、渠道體系和技術支持體系;并在華北、華東、西南和華南布局四大研發中心,分別為北京研發總部、上海研發中心、成都研發中心和廣州研發中心。

多年來,啟明星辰致力于提供具有國際競爭力的自主創新的安全產品和最佳實踐服務,幫助客戶全面提升其IT基礎設施的安全性和生產效能,為打造和提升國際化的民族信息安全產業領軍品牌而不懈努力。


關于我們

啟明星辰安全應急響應中心主要針對重要安全漏洞的預警、跟蹤和分享全球最新的威脅情報和安全報告。

關注以下公眾號,獲取全球最新安全資訊:

image.png

 

上一篇 下一篇