Microsoft бьет тревогу. В Active Directory нашлись бреши для захвата контроля над доменом Windows

- КиТ :: Будь в СЕТИ!

Две уязвимости в Microsoft Active Directory позволяют повышать привилегии до уровня администратора и захватывать весь домен. Количество эксплойтов быстро растет.

Используйте комбинацию

Корпорация Microsoft разослала предупреждение о двух серьезных уязвимостях в Active Directory, комбинация которых может быть использована для захвата контроля над доменом Windows.

Active Directory представляет собой службу каталогов, распределенную базу данных со сведениями об объектах в сети. Active Directory выступает системой аутентификации и авторизации пользователей и приложений.

Речь идет об уязвимостях CVE-2021-42287 и CVE-2021-42278, которые в ноябре 2021 г. обнаружил эксперт по кибербезопасности компании Catalyst IT Эндрю Барлетт (Andrew Barlett).

Обе уязвимости позволяют злоумышленнику выдавать себя за контроллер домена - сервер, контролирующий область компьютерной сети. В итоге появляется возможность повысить свои привилегии до уровня администратора. Это будет означать захват контроля над всем доменом.

Ранее, 11 декабря 2021 г. в Twitter и на GitHub был опубликован экспериментальный эксплойт, с помощью которого легко можно повысить привилегии от стандартного пользователя Active Directory до уровня администратора, при условии, что в домене действуют стандартные настройки, а патчи не установлены.

Позднее появились дополнительные инструменты эксплуатации, такие как сканер и эксплойты на C# или эксплойт на Python для Kali Linux. Очевидно их количество будет расти.

Исправления для багов

По шкале CVSS:3.1 обе уязвимости получили оценку 7.5/6.5, то есть, степень опасности определена как средневысокая.

Microsoft также опубликовала подробные технические инструкции по обнаружению признаков эксплуатации и идентификации потенциально скомпрометированных серверов с помощью Microsoft 365 Defender и его функции Advanced Hunting. Основной принцип заключается в том, чтобы выявить несанкционированные изменения названий устройств в домене, которыми сопровождается компрометация (событие 4662).

«Уязвимости оцениваются по отдельности, но не в комбинации, - отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - Угроза от их совместного использования, судя по всему, на грани критической, хотя для успешной атаки требуется соблюдение нескольких условий. В любом случае, возможность захвата домена есть, и довольно высокая, так что затягивать с установкой обновлений категорически не стоит».

ПодпискаБудь в СЕТИ! Новости социальных сетей - всегда актуальное
 
Группы: ВК | OK | Tg