【漏洞通告】Windows Active Directory 域服务权限提升漏洞(CVE-2021-42278)
发布时间 2021-12-210x00 漏洞概述
CVE ID | CVE-2021-42278 | 时 间 | 2021-11-09 |
类 型 | 权限提升 | 等 级 | 高危 |
远程利用 | 是 | 影响范围 | |
攻击复杂度 | 高 | 可用性 | 高 |
用户交互 | 无 | 所需权限 | 低 |
PoC/EXP | 已公开 | 在野利用 |
0x01 漏洞详情
2021年12月20日,微软披露了Windows Active Directory 域服务权限提升漏洞(CVE-2021-42287和CVE-2021-42278)的漏洞细节,并警告客户及时修复这2个漏洞。当结合这2个漏洞时,攻击者可以在没有应用补丁的 Active Directory 环境中创建一个直接访问域管理员用户的路径,在攻击域中的普通用户后轻松将其权限提升为域管理员权限,最终接管Windows域。
这2个漏洞都是微软11月9日补丁日中修复的,CVSS评分均为7.5。其中CVE-2021-42278是一个安全绕过漏洞,该漏洞允许攻击者使用计算机帐户sAMAccountName欺骗来冒充域控制器(SAM名称模拟)。CVE-2021-42287是影响Kerberos特权属性证书(PAC)的安全绕过漏洞,允许攻击者冒充域控制器(KDC欺骗)。
12 月 11 日,这2个漏洞的细节和PoC/EXP已在互联网上公开。经过身份验证的远程攻击者可以结合这2个漏洞在默认配置的情况下将普通权限提升到域管理员权限。
影响范围
CVE-2021-42287、CVE-2021-42278:
Windows Server, version 20H2 (Server Core Installation)
Windows Server, version 2004 (Server Core installation)
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
0x02 处置建议
目前这些漏洞已在微软11月9日发布的安全更新中修复,建议启用Windows自动更新或手动下载安装补丁。
下载链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42278
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42287
此外,微软还分享了这2个漏洞的利用检测分步指南:
1.sAMAccountName 更改基于事件 4662,请确保在域控制器上启用它以捕获此类活动。
2. 打开 Microsoft 365 Defender 并导航到Advanced Hunting。
3.复制以下查询(也可在 Microsoft 365 Defender GitHub高级狩猎查询中找到),查找异常设备名称更改:
IdentityDirectoryEvents
| where Timestamp > ago(1d)
| where ActionType == "SAM Account Name changed"
| extend FROMSAM = parse_json(AdditionalFields)['FROM SAM Account Name']
| extend TOSAM = parse_json(AdditionalFields)['TO SAM Account Name']
| where (FROMSAM has "$" and TOSAM !has "$")
or TOSAM in ("DC1", "DC2", "DC3", "DC4") // DC Names in the org
| project Timestamp, Application, ActionType, TargetDeviceName, FROMSAM, TOSAM, ReportId, AdditionalFields
4.用域控制器的命名约定替换标记区域
5.运行查询并分析包含受影响设备的结果。可以使用Windows 事件 4741查找这些计算机的创建者(如果它们是新创建的)。
6.建议调查这些被感染的计算机并确定它们没有被武器化。
7.确保使用以下知识库文章中详述的步骤和信息更新遭受攻击的设备:KB5008102、KB5008380、KB5008602。
0x03 参考链接
https://techcommunity.microsoft.com/t5/security-compliance-and-identity/sam-name-impersonation/ba-p/3042699
https://twitter.com/safe_buffer/status/1469742616505954323
https://support.microsoft.com/en-us/topic/kb5008102-active-directory-security-accounts-manager-hardening-changes-cve-2021-42278-5975b463-4c95-45e1-831a-d120004e258e
https://www.bleepingcomputer.com/news/microsoft/microsoft-warns-of-easy-windows-domain-takeover-via-active-directory-bugs/
0x04 更新版本
版本 | 日期 | 修改内容 |
V1.0 | 2021-12-21 | 首次发布 |
0x05 关于我们
公司简介
启明星辰公司成立于1996年,并于2010年6月23日在深交所中小板正式挂牌上市,是国内最具实力的信息安全产品和安全管理平台、安全服务与解决方案的领航企业之一。
公司总部位于北京市中关村软件园,在全国各省、市、自治区设立分支机构六十多个,拥有覆盖全国的销售体系、渠道体系和技术支持体系;并在华北、华东、西南和华南布局四大研发中心,分别为北京研发总部、上海研发中心、成都研发中心和广州研发中心。
多年来,启明星辰致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务,帮助客户全面提升其IT基础设施的安全性和生产效能,为打造和提升国际化的民族信息安全产业领军品牌而不懈努力。
关于我们
启明星辰安全应急响应中心主要针对重要安全漏洞的预警、跟踪和分享全球最新的威胁情报和安全报告。
关注以下公众号,获取全球最新安全资讯:
京公网安备11010802024551号