Microsoft mette in guardia contro due vulnerabilità che permettono ad un attaccante di prendere possesso di un dominio Active Directory.
Le due vulnerabilità di sicurezza (CVE-2021-42287 e CVE-2021-42278), infatti hanno anche un proof of concept pubblicato su Twitter e Github che mostra il metodo di attacco per il loro sfruttamento.
Se sfruttate in modo efficace permette ad un attaccante di elevare i propri privilegi all’interno del domino, dando possibilità di poter agire come amministratore all’interno dello stesso.
Come verificare se siamo compromessi e cosa fare
Per correre ai ripari è necessario installare la patch rilasciate da Microsoft che sono le KB5008102, KB5008380, e KB5008602
Ecco alcuni passaggi, forniti direttamente da Microsoft, per verificare se il proprio dominio è compromesso e come intervenire:
- La modifica di sAMAccountName si basa sull’evento 4662. Assicurati di abilitarlo nel controller di dominio per rilevare tali attività. Vedi qui come fare
- Aprire Microsoft Defender 365 e recarsi nella voce Ricerca Avanzata
- Copia la seguente query (disponibile anche nella pagina Microsoft 365 Defender GitHub Ricerca avanzata query):
IdentityDirectoryEvents
| where Timestamp > ago(1d)
| where ActionType == "SAM Account Name changed"
| extend FROMSAM = parse_json(AdditionalFields)['FROM SAM Account Name']
| extend TOSAM = parse_json(AdditionalFields)['TO SAM Account Name']
| where (FROMSAM has "$" and TOSAM !has "$")
or TOSAM in ("DC1", "DC2", "DC3", "DC4") // DC Names in the org
| project Timestamp, Application, ActionType, TargetDeviceName, FROMSAM, TOSAM, ReportId, AdditionalFields- Sostituisci l’area contrassegnata con la convenzione di denominazione dei controller di dominio
- Eseguire la query e analizzare i risultati che contengono i dispositivi interessati. Puoi utilizzare l’evento 4741 di Windows per trovare l’autore di queste macchine, se sono state appena create
- Consigliamo di indagare su questi computer compromessi e stabilire che non sono stati utilizzati come arma.