Поделиться
Microsoft бьет тревогу. В Active Directory нашлись бреши для захвата контроля над доменом Windows
Две уязвимости в Microsoft Active Directory позволяют повышать привилегии до уровня администратора и захватывать весь домен. Количество эксплойтов быстро растет.
Используйте комбинацию
Корпорация Microsoft разослала предупреждение о двух серьезных уязвимостях в Active Directory, комбинация которых может быть использована для захвата контроля над доменом Windows.
Active Directory представляет собой службу каталогов, распределенную базу данных со сведениями об объектах в сети. Active Directory выступает системой аутентификации и авторизации пользователей и приложений.
Речь идет об уязвимостях CVE-2021-42287 и CVE-2021-42278, которые в ноябре 2021 г. обнаружил эксперт по кибербезопасности компании Catalyst IT Эндрю Барлетт (Andrew Barlett).
Обе уязвимости позволяют злоумышленнику выдавать себя за контроллер домена — сервер, контролирующий область компьютерной сети. В итоге появляется возможность повысить свои привилегии до уровня администратора. Это будет означать захват контроля над всем доменом.
Ранее, 11 декабря 2021 г. в Twitter и на GitHub был опубликован экспериментальный эксплойт, с помощью которого легко можно повысить привилегии от стандартного пользователя Active Directory до уровня администратора, при условии, что в домене действуют стандартные настройки, а патчи не установлены.
Позднее появились дополнительные инструменты эксплуатации, такие как сканер и эксплойты на C# или эксплойт на Python для Kali Linux. Очевидно их количество будет расти.
Исправления для багов
По шкале CVSS:3.1 обе уязвимости получили оценку 7.5/6.5, то есть, степень опасности определена как средневысокая.
Microsoft также опубликовала подробные технические инструкции по обнаружению признаков эксплуатации и идентификации потенциально скомпрометированных серверов с помощью Microsoft 365 Defender и его функции Advanced Hunting. Основной принцип заключается в том, чтобы выявить несанкционированные изменения названий устройств в домене, которыми сопровождается компрометация (событие 4662).
«Уязвимости оцениваются по отдельности, но не в комбинации, — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Угроза от их совместного использования, судя по всему, на грани критической, хотя для успешной атаки требуется соблюдение нескольких условий. В любом случае, возможность захвата домена есть, и довольно высокая, так что затягивать с установкой обновлений категорически не стоит».
Короткая ссылка
