Microsoft bugün müşterilerini, saldırganların Windows etki alanlarını kolayca ele geçirmesine olanak tanıyan iki Active Directory etki alanı hizmeti ayrıcalığı yükseltme güvenlik açığını düzeltmeleri konusunda uyardı.
Kasım 2021 Salı Yaması sırasında iki güvenlik açığını ( CVE-2021-42287 ve CVE-2021-42278 olarak izlendi ve Catalyst IT’den Andrew Bartlett tarafından bildirildi) gidermek için güvenlik güncellemeleri yayınladı. Redmond’un, her ikisi de saldırganların etki alanı denetleyicilerinin kimliğini taklit edilmesine izin veren iki hatayı hemen düzeltmesi konusunda uyardı. Ayrıca bu iki zafiyet için PoC yayınlandı. Domain yöneticilerinin aşağıdaki bilgi bankası makalelerinde ayrıntılı olarak açıklanan adımları ve bilgileri kullanarak saldırılara maruz kalan cihazları güncellemeleri yüklemeleri öneriyor: KB5008102 , KB5008380 , KB5008602.
İstismar nasıl tespit edilir
- sAMAccountName değişikliği 4662 id’si ile olay günlüklerine yansıyor. Bu tür etkinlikleri yakalamak için etki alanı denetleyicisinde etkinleştirdiğinizden emin olun. Burada nasıl yapılacağı hakkında daha fazla bilgi edinin.
- Microsoft 365 Defender’ı açın ve Advanced Hunting’e gidin.
- Aşağıdaki sorguyu kopyalayın (bu, Microsoft 365 Defender GitHub Advanced Hunting sorgusunda da mevcuttur ):
IdentityDirectoryEvents
| where Timestamp > ago(1d)
| where ActionType == "SAM Account Name changed"
| extend FROMSAM = parse_json(AdditionalFields)['FROM SAM Account Name']
| extend TOSAM = parse_json(AdditionalFields)['TO SAM Account Name']
| where (FROMSAM has "$" and TOSAM !has "$")
or TOSAM in ("DC1", "DC2", "DC3", "DC4") // DC Names in the org
| project Timestamp, Application, ActionType, TargetDeviceName, FROMSAM, TOSAM, ReportId, AdditionalFields- İşaretli alanı, etki alanı denetleyicilerinizin adlandırma kuralıyla değiştirin.
- Sorguyu çalıştırın ve etkilenen cihazları içeren sonuçları analiz edin.
Ayıca aşağıdaki powershell komutlarını kullanarak AD üzerindeki uygun olmayan objeleri listeleyebilirsiniz.
Get-ADComputer -LDAPFilter "(samAccountName=*)" |? SamAccountName -NotLike "*$" | select DNSHostName, Name, SamAccountName
Get-ADComputer -LDAPFilter "UserAccountControl:1.2.840.113556.1.4.803:=512”Kaynak: bleepingcomputer.com