Alat bukti konsep
A telah diterbitkan yang memanfaatkan dua bug Windows Active Directory yang diperbaiki bulan lalu yang, ketika dirantai, dapat memungkinkan pengambilalihan domain Windows dengan mudah.
Dalam peringatan Senin, Microsoft mendesak organisasi untuk segera menambal pasangan bug, dilacak sebagai CVE-2021-42287 dan CVE-2021-42278, keduanya telah diperbaiki dalam rilis Patch Selasa November 2021.
Kedua kerentanan digambarkan sebagai bug “eskalasi hak istimewa layanan domain Direktori Aktif Windows” dan memiliki tingkat keparahan yang tinggi, dengan Skor kekritisan CVSS 7,5 dari 10.
“Seperti biasa, kami sangat menyarankan untuk menerapkan patch terbaru pada pengontrol domain sesegera mungkin,” saran Microsoft.
Bugs Beri Penyerang ‘Jalur Lurus’ ke Hak Admin
Kerentanan memungkinkan penyerang untuk dengan mudah mendongkrak meningkatkan hak istimewa ke admin domain di layanan domain Windows Active Directory yang belum ditambal setelah menyamar sebagai pengguna domain biasa, menurut saran Microsoft ory.
Domain administrator di Windows adalah pengguna yang dapat mengubah konfigurasi server Active Directory dan dapat mengubah konten apa pun yang disimpan di sana. Admin domain dapat membuat pengguna baru, menghapus pengguna, dan mengubah izin mereka; dan dapat mengontrol otorisasi dan autentikasi ke layanan Windows.
“Saat menggabungkan dua kerentanan ini, penyerang dapat membuat jalur langsung ke pengguna admin domain di lingkungan Active Directory yang belum menerapkan pembaruan baru ini,” menurut pihak keamanan peringatan. “Serangan eskalasi ini memungkinkan penyerang untuk dengan mudah meningkatkan hak istimewa mereka ke Admin Domain setelah mereka membahayakan pengguna biasa di domain.”
Pada 11 Desember, alat proof-of-concept (PoC) untuk mengeksploitasi bug dirilis secara publik di Twitter dan GitHub, hanya beberapa minggu setelah Patch Selasa November 2021. Beberapa peneliti keamanan mengonfirmasi bahwa itu berfungsi dan eksploitasinya mudah.
Mengeksploitasi CVE-2021-42278 dan CVE-2021-42287. Dari Pengguna AD Standar menjadi Admin Domain! (konfigurasi default)https://t.co/feX2OBe5BJ pic.twitter.com/3tbYtOgEMW
— Hsm (@safe_buffer) 11 Desember 2021
Bagaimana Mengenalinya jika Sistem Telah Disusupi
Microsoft mendefinisikan exploit sebagai peniruan Nama SAM. Same Account Name (SAM) mengacu pada atribut sAMAccountName: nama logon yang digunakan untuk mendukung klien dan server dari versi Windows sebelumnya, seperti Windows NT 4.0, Windows 95, Windows 98, dan LAN Manager.
Tim peneliti Microsoft menerbitkan panduan terperinci tentang pendeteksian tanda-tanda eksploitasi dan mengidentifikasi server yang disusupi dengan permintaan perburuan lanjutan Defender for Identity yang mengendus perubahan nama perangkat yang tidak normal: perubahan yang “seharusnya jarang terjadi sejak awal,” katanya. Defender for Identity adalah alat keamanan berbasis cloud yang menggunakan sinyal Active Directory lokal untuk mengidentifikasi, mendeteksi, dan menyelidiki ancaman tingkat lanjut, identitas yang disusupi, dan tindakan orang dalam yang berbahaya.
Permintaan membandingkan perubahan nama tersebut dengan daftar pengontrol domain di lingkungan Anda, kata peneliti. “Untuk menyelidiki apakah kerentanan ini mungkin telah dieksploitasi di lingkungan Anda sebelum hotfix disebarkan, kami sangat menyarankan Anda mengikuti panduan langkah demi langkah,” saran Microsoft, dengan memberikan petunjuk berikut:
Perubahan sAMAccountName didasarkan pada peristiwa 4662. Harap pastikan untuk mengaktifkannya di pengontrol domain untuk menangkap aktivitas tersebut. Pelajari selengkapnya tentang cara melakukannya di sini.
Buka Microsoft 365 Defender dan navigasikan ke Advanced Hunting.
Salin kueri berikut (yang juga tersedia di kueri Perburuan Lanjutan GitHub Microsoft 365 Defender): IdentityDirectoryEvents | di mana Stempel Waktu > lalu(1 hari) | di mana ActionType == “Nama Akun SAM berubah” | memperpanjang FROMSAM = parse_json(Bidang Tambahan)[‘FROM Nama Akun SAM’] | memperpanjang TOSAM = parse_json(Fields Tambahan)[‘TO SAM Account Name’] | di mana (FROMSAM memiliki “$” dan TOSAM !memiliki “$”) atau TOSAM di (“DC1”, “DC2”, “DC3”, “DC4”) // Nama DC di org | proyek Timestamp, Aplikasi, ActionType, TargetDeviceName, FROMSAM, TOSAM, ReportId, AdditionalFields
Ganti area yang ditandai dengan konvensi penamaan pengontrol domain Andas
Jalankan kueri dan analisis hasil yang berisi perangkat yang terpengaruh. Anda dapat menggunakan Windows Event 4741 untuk menemukan pembuat mesin ini, jika mesin tersebut baru dibuat
Kami menyarankan untuk menyelidiki komputer yang disusupi ini dan menentukan bahwa komputer tersebut tidak dipersenjatai.
Pastikan untuk memperbarui perangkat dengan KB berikut: KB5008102, KB5008380, KB5008602 .
“Tim peneliti kami melanjutkan upayanya dalam menciptakan lebih banyak cara untuk mendeteksi kerentanan ini, baik dengan kueri atau deteksi langsung,” kata Microsoft.
Jangan Biarkan Kebisingan Log4j Menenggelamkan Yang Ini
Perpustakaan logging Apache Log4j kesengsaraan menyedot semua oksigen keluar dari ruangan sekarang, tetapi pakar keamanan mengatakan bahwa organisasi harus mencari waktu untuk menangani bug ini. Mengamankan Active Directory sangat penting, mengingat perannya yang sangat penting dalam otorisasi dan otentikasi akun dan kompromi mengerikan yang dapat terjadi jika kerentanan seperti ini dieksploitasi.
“Active Directory biasanya merupakan kunci kerajaan,” Tyler Shields, CMO di JupiterOne dan mantan analis Forrester Research, mengatakan kepada Threatpost melalui email pada hari Selasa. “Menargetkan sistem yang menyimpan otorisasi akun dan informasi otentikasi dapat mengakibatkan kompromi besar-besaran dari suatu perusahaan. Ini adalah salah satu sistem manajemen akun yang paling umum digunakan di planet ini dan harus tetap aman dan mutakhir.”
John Bambenek, pemburu ancaman utama di Netenrich, mengatakan bahwa jika penyerang mendapatkan hak istimewa admin domain, mereka dapat “secara harfiah melakukan hampir apa pun yang mereka inginkan ke mesin mana pun dalam organisasi tanpa hukuman.” Operator
Ransomware, misalnya, akan menganggap kerentanan ini menarik jika mereka ingin “menebus seluruh organisasi sekaligus,” kata Bambenek. Menggunakan PoC untuk menginstal ransomware di setiap mesin Windows dalam sebuah organisasi “akan menjadi hal yang sepele,” tambahnya.
AD tidak hanya ada di mana-mana – tetapi juga terus-menerus dikepung oleh musuh, kata Tim Wade, direktur teknis, tim CTO di keamanan siber berbasis AI Vectra yang kokoh. Ini adalah “metode kemajuan yang disukai melalui perusahaan setelah pijakan awal telah dicapai,” katanya kepada Threatpost melalui email.
Contoh kasus: AD berperan dalam serangan SolarWinds, ketika musuh menyerang Server Direktori Aktif dengan pintu belakang FoggyWeb. Sayangnya, AD adalah mimpi buruk untuk diamankan, seperti yang telah digariskan oleh peneliti SpecterOps yang telah mencoba membuat komunitas keamanan berpikir tentang masalah AD dalam hal “hutang kesalahan konfigurasi”: seperti dalam kesalahan konfigurasi tambahan yang menumpuk seiring waktu , sehingga penyerang hampir dijamin untuk menemukan jalur serangan ke tujuan mereka di jaringan mana pun.
Jangan biarkan bug ini menambah hutang kesalahan konfigurasi, kata para ahli.
“Kedua bug ini … [adalah] benar-benar patut diperhatikan, mengingat langsung garis pandang antara kehadiran mereka dan kompromi domain penuh” Wade menekankan. ” Saat hujan dalam keamanan informasi, sepertinya hujan – tetapi ini bukan sesuatu yang harus dihilangkan oleh pembela jaringan setiap saat keluar dari lingkungan mereka.”
122121 12:54 PEMBARUAN: Masukan tambahan dari Tyler Shields, John Bambenek, dan Tim Wade .
122121 14:23 UPDATE: Kesalahan ejaan nama John Bambenek yang diperbaiki.