Home Windows Server Aggiornate il vostro server, Active Domain potrebbe essere bucato

Aggiornate il vostro server, Active Domain potrebbe essere bucato

da Alvise C.
0 commenti

Microsoft mette in guardia contro due vulnerabilità che permettono ad un attaccante di prendere possesso di un dominio Active Directory.

Le due vulnerabilità di sicurezza (CVE-2021-42287 e CVE-2021-42278), infatti hanno anche un proof of concept pubblicato su Twitter e Github che mostra il metodo di attacco per il loro sfruttamento.

Se sfruttate in modo efficace permette ad un attaccante di elevare i propri privilegi all’interno del domino, dando possibilità di poter agire come amministratore all’interno dello stesso.

Come verificare se siamo compromessi e cosa fare

Per correre ai ripari è necessario installare la patch rilasciate da Microsoft che sono le KB5008102KB5008380, e KB5008602

Ecco alcuni passaggi, forniti direttamente da Microsoft, per verificare se il proprio dominio è compromesso e come intervenire:

  • La modifica di sAMAccountName si basa sull’evento 4662. Assicurati di abilitarlo nel controller di dominio per rilevare tali attività. Vedi qui come fare
  • Aprire Microsoft Defender 365 e recarsi nella voce Ricerca Avanzata 
  • Copia la seguente query (disponibile anche nella pagina Microsoft 365 Defender GitHub Ricerca avanzata query):
IdentityDirectoryEvents
| where Timestamp > ago(1d)
| where ActionType == "SAM Account Name changed"
| extend FROMSAM = parse_json(AdditionalFields)['FROM SAM Account Name']
| extend TOSAM = parse_json(AdditionalFields)['TO SAM Account Name']
| where (FROMSAM has "$" and TOSAM !has "$")
        or TOSAM in ("DC1", "DC2", "DC3", "DC4") // DC Names in the org
| project Timestamp, Application, ActionType, TargetDeviceName, FROMSAM, TOSAM, ReportId, AdditionalFields
  • Sostituisci l’area contrassegnata con la convenzione di denominazione dei controller di dominio
  • Eseguire la query e analizzare i risultati che contengono i dispositivi interessati. Puoi utilizzare l’evento 4741 di Windows per trovare l’autore di queste macchine, se sono state appena create
  • Consigliamo di indagare su questi computer compromessi e stabilire che non sono stati utilizzati come arma.

Non perdere questi contenuti:

Lascia un commento