Aktualizacja Active Directory

W ostatnim czasie obserwujemy wzmożone zainteresowanie dwoma lukami bezpieczeństwa systemu Microsoft Active Directory (CVE-2021-42287 i CVE-2021-42278). Wskazane podatności, wraz z dodanymi do nich poprawkami, pochodzą z listopada 2021 r., niemniej z naszego doświadczenia wynika, że wiele organizacji wciąż ich nie implementowało.

Wykorzystanie pierwszej z wyżej wspomnianych podatności pozwala na przejęcie serwera kontrolera domeny poprzez podszycie się pod sAMAccountName. Druga z podatności wpływa na certyfikat PAC, a w konsekwencji umożliwia atakującemu eskalację uprawnień.

Niezwykle niebezpieczne będzie połączenie dwóch powyższych luk bezpieczeństwa, ponieważ skuteczny atak skutkowałby podniesieniem uprawnień w środowisku Active Directory, nawet bez dostępu do konta standardowego użytkownika.

Środki zaradcze, które należałoby podjąć:

  1. pierwszym oczywistym środkiem zaradczym jest zainstalowanie aktualizacji  z dnia 9 listopada 2021 r. na wszystkich kontrolerach domeny, a następnie aktywowanie trybu wymuszania;
  2. warto zmienić domyślną wartość Machine Account Quota z 10 na 0, aby zablokować możliwość dodawania komputerów do Active Directory z poziomu kont nieuprzywilejowanych.

W kontekście ostatnich głośnych podatności w zakresie Log4j warto również pamiętać
o innych podatnościach, które również mogą okazać się katastrofalne w skutkach. Należy nadmienić, iż podatności te otrzymały wynik CVSS na poziomie 7,5, a więc ryzyko jest bardzo duże.

Dodatkowe informacje na temat tego, jak wygląda atak i jak się przed nim chronić zamieszczają również portale zajmujące się bezpieczeństwem oraz sam Microsoft:

  1. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42287
  2. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42278
  3. https://support.microsoft.com/en-us/topic/kb5008102-active-directory-security-accounts-manager-hardening-changes-cve-2021-42278-5975b463-4c95-45e1-831a-d120004e258e

Czytaj także:

Najczęstsze błędy przy zawieraniu umów powierzenia
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>