Η Microsoft σήμερα ενημέρωσε τους πελάτες ότι θα πρέπει να επιδιορθώσουν δύο ελαττώματα ασφαλείας Active Directory domain service privilege escalation που, όταν συνδυάζονται, επιτρέπουν στους εισβολείς να καταλαμβάνουν εύκολα τα Windows domains.
Δείτε επίσης: Microsoft Excel: Πώς να διαγράψετε τη μορφοποίηση
Η εταιρεία κυκλοφόρησε ενημερώσεις ασφαλείας για την αντιμετώπιση των δύο τρωτών σημείων ασφαλείας (που αναφέρονται ως CVE-2021-42287 και CVE-2021-42278 και αναφέρθηκαν από τον Andrew Bartlett του Catalyst IT) κατά τη διάρκεια της November 2021 Patch Tuesday.
Η προειδοποίηση του εταιρείας για άμεση επιδιόρθωση των δύο σφαλμάτων – και τα δύο επιτρέπουν στους εισβολείς να μιμούνται τους domain controllers – έρχεται μετά από ένα εργαλείο proof-of-concept (PoC) που μπορεί να αξιοποιήσει αυτά τα τρωτά σημεία που κοινοποιήθηκε στο Twitter και το GitHub στις 11 Δεκεμβρίου.
Bot χρησιμοποιούν scalping και εξαντλούν τα δημοφιλή δώρα
Perseverance: Μελετά τους αρχαιότερους βράχους στον Άρη
Μυστήρια drones στο New Jersey: Τι λέει το Πεντάγωνο;
Δείτε επίσης: Πώς να αφαιρέσετε όλες τις εικόνες από ένα φύλλο στο Microsoft Excel
Οι διαχειριστές των Windows καλούνται να ενημερώσουν τις συσκευές που εκτίθενται σε επιθέσεις χρησιμοποιώντας τα βήματα και τις πληροφορίες που περιγράφονται στα ακόλουθα άρθρα της βάσης γνώσεων: KB5008102, KB5008380, KB5008602.
Οι ερευνητές που δοκίμασαν το PoC δήλωσαν ότι ήταν σε θέση να χρησιμοποιήσουν εύκολα το εργαλείο για την κλιμάκωση των προνομίων από τον τυπικό χρήστη Active Directory σε έναν Domain Admin σε προεπιλεγμένες διαμορφώσεις.
Πώς να εντοπίσετε το exploitation, σημάδια παραβίασης
Η Microsoft κοινοποίησε και λεπτομερείς οδηγίες σχετικά με τον εντοπισμό σημαδιών παραβίασης στο περιβάλλον σας και τον εντοπισμό πιθανών παραβιασμένων servers χρησιμοποιώντας το προηγμένο hunting query Defender for Identity που αναζητά μη φυσιολογικές αλλαγές ονόματος συσκευής.
Ο οδηγός βήμα προς βήμα απαιτεί από τους defenders τα παρακάτω:
1.Η αλλαγή sAMAccountName βασίζεται στο event 4662. Βεβαιωθείτε ότι την έχετε ενεργοποιήσει στο domain controller για να εντοπίσει τέτοιες δραστηριότητες.
2.Ανοίξτε το Microsoft 365 Defender και μεταβείτε στο Advanced Hunting.
3.Αντιγράψτε το ακόλουθο ερώτημα (το οποίο είναι διαθέσιμο στο query Microsoft 365 Defender GitHub Advanced Hunting):
4.Αντικαταστήστε την επισημασμένη περιοχή με το naming convention των domain controllers σας
5.Εκτελέστε το query και αναλύστε τα αποτελέσματα που περιέχουν τις επηρεαζόμενες συσκευές. Μπορείτε να χρησιμοποιήσετε το Windows Event 4741 για να βρείτε τον δημιουργό αυτών των μηχανημάτων, εάν δημιουργήθηκαν πρόσφατα
6.Συνιστούμε να διερευνήσετε αυτούς τους παραβιασμένους υπολογιστές και να προσδιορίσετε ότι δεν έχουν γίνει weaponized.
Δείτε επίσης: Χάκερ κλέβουν credentials Microsoft Exchange χρησιμοποιώντας IIS module
«Η ερευνητική μας ομάδα συνεχίζει την προσπάθειά της για τη δημιουργία περισσότερων τρόπων για τον εντοπισμό αυτών των τρωτών σημείων, είτε με queries είτε με out-of-the-box detections», πρόσθεσε η Microsoft.
Πηγή πληροφοριών: bleepingcomputer.com