Jak zwiększyć ochronę przed atakami na Microsoft Active Directory?
ODPOWIEDŹ
W ostatnim czasie obserwujemy wzmożone zainteresowanie dwoma lukami bezpieczeństwa systemu Microsoft Active Directory (CVE-2021-42287 i CVE-2021-42278). Wskazane podatności, wraz z dodanymi do nich poprawkami, pochodzą z listopada 2021 r., niemniej z naszego doświadczenia wynika, że wiele organizacji wciąż ich nie implementowało. Wykorzystanie pierwszej z wyżej wspomnianych podatności pozwala na przejęcie serwera kontrolera domeny poprzez podszycie się pod sAMAccountName. Druga z podatności wpływa na certyfikat PAC, a w konsekwencji umożliwia atakującemu eskalację uprawnień.
Niezwykle niebezpieczne będzie połączenie dwóch powyższych luk bezpieczeństwa, ponieważ skuteczny atak skutkowałby podniesieniem uprawnień w środowisku Active Directory, nawet bez dostępu do konta standardowego użytkownika.
Środki zaradcze, które należałoby podjąć:
- pierwszym oczywistym środkiem zaradczym jest zainstalowanie aktualizacji z dnia 9 listopada 2021 r. na wszystkich kontrolerach domeny, a następnie aktywowanie trybu wymuszania;
- warto zmienić domyślną wartość Machine Account Quota z 10 na 0, aby zablokować możliwość dodawania komputerów do Active Directory z poziomu kont nieuprzywilejowanych.
W kontekście ostatnich głośnych podatności w zakresie Log4j warto również pamiętać o innych podatnościach, które również mogą okazać się katastrofalne w skutkach. Należy nadmienić, iż podatności te otrzymały wynik CVSS na poziomie 7,5, a więc ryzyko jest bardzo duże.
Dodatkowe informacje na temat tego, jak wygląda atak i jak się przed nim chronić zamieszczają również portale zajmujące się bezpieczeństwem oraz sam Microsoft:
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42287
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42278
- https://support.microsoft.com/en-us/topic/kb5008102-active-directory-security-accounts-manager-hardening-changes-cve-2021-42278-5975b463-4c95-45e1-831a-d120004e258e