Aggiornate il vostro server, Active Domain potrebbe essere bucato

Microsoft mette in guardia contro due vulnerabilità che permettono ad un attaccante di prendere possesso di un dominio Active Directory.

Le due vulnerabilità di sicurezza (CVE-2021-42287 e CVE-2021-42278), infatti hanno anche un proof of concept pubblicato su Twitter e Github che mostra il metodo di attacco per il loro sfruttamento.

Se sfruttate in modo efficace permette ad un attaccante di elevare i propri privilegi all’interno del domino, dando possibilità di poter agire come amministratore all’interno dello stesso.

Come verificare se siamo compromessi e cosa fare

Per correre ai ripari è necessario installare la patch rilasciate da Microsoft che sono le KB5008102KB5008380, e KB5008602

Ecco alcuni passaggi, forniti direttamente da Microsoft, per verificare se il proprio dominio è compromesso e come intervenire:

  • La modifica di sAMAccountName si basa sull’evento 4662. Assicurati di abilitarlo nel controller di dominio per rilevare tali attività. Vedi qui come fare
  • Aprire Microsoft Defender 365 e recarsi nella voce Ricerca Avanzata 
  • Copia la seguente query (disponibile anche nella pagina Microsoft 365 Defender GitHub Ricerca avanzata query):
IdentityDirectoryEvents
| where Timestamp > ago(1d)
| where ActionType == "SAM Account Name changed"
| extend FROMSAM = parse_json(AdditionalFields)['FROM SAM Account Name']
| extend TOSAM = parse_json(AdditionalFields)['TO SAM Account Name']
| where (FROMSAM has "$" and TOSAM !has "$")
        or TOSAM in ("DC1", "DC2", "DC3", "DC4") // DC Names in the org
| project Timestamp, Application, ActionType, TargetDeviceName, FROMSAM, TOSAM, ReportId, AdditionalFields
  • Sostituisci l’area contrassegnata con la convenzione di denominazione dei controller di dominio
  • Eseguire la query e analizzare i risultati che contengono i dispositivi interessati. Puoi utilizzare l’evento 4741 di Windows per trovare l’autore di queste macchine, se sono state appena create
  • Consigliamo di indagare su questi computer compromessi e stabilire che non sono stati utilizzati come arma.

Articoli Correlati

KLIM Ace, il nuovo mouse wireless per videogiocatori

Nuove Creative Zen Hybrid

KB5013943 in Windows 11 provoca bluescreen con i prodotti Sophos