鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

【误差通告】Windows Active Directory 域效劳权限提升误差（CVE-2021-42278）

宣布时间 2021-12-21

0x00 误差概述

CVE ID	CVE-2021-42278	时间	2021-11-09
类型	权限提升	等级	高危
远程使用	是	影响规模
攻击重漂后	高	可用性	高
用户交互	无	所需权限	低
PoC/EXP	已果真	在野使用

0x01 误差详情

2021年12月20日，，，，，，，微软披露了Windows Active Directory 域效劳权限提升误差（CVE-2021-42287和CVE-2021-42278）的误差细节，，，，，，，并忠言客户实时修复这2个误差。。。。。。当连系这2个误差时，，，，，，，攻击者可以在没有应用补丁的 Active Directory 情形中建设一个直接会见域治理员用户的路径，，，，，，，在攻击域中的通俗用户后轻松将其权限提升为域治理员权限，，，，，，，最终接受Windows域。。。。。。

这2个误差都是微软11月9日补丁日中修复的，，，，，，，CVSS评分均为7.5。。。。。。其中CVE-2021-42278是一个清静绕过误差，，，，，，，该误差允许攻击者使用盘算机帐户sAMAccountName诱骗来冒充域控制器（SAM名称模拟）。。。。。。CVE-2021-42287是影响Kerberos特权属性证书（PAC）的清静绕过误差，，，，，，，允许攻击者冒充域控制器（KDC诱骗）。。。。。。

12 月 11 日，，，，，，，这2个误差的细节和PoC/EXP已在互联网上果真。。。。。。经由身份验证的远程攻击者可以连系这2个误差在默认设置的情形下将通俗权限提升到域治理员权限。。。。。。

影响规模

CVE-2021-42287、CVE-2021-42278：

Windows Server, version 20H2 (Server Core Installation)

Windows Server, version 2004 (Server Core installation)

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

0x02 处置惩罚建议

现在这些误差已在微软11月9日宣布的清静更新中修复，，，，，，，建议启用Windows自动更新或手动下载装置补丁。。。。。。

下载链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42278

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42287

别的，，，，，，，微软还分享了这2个误差的使用检测分步指南：

1.sAMAccountName 更改基于事务 4662，，，，，，，请确保在域控制器上启用它以捕获此类活动。。。。。。

2. 翻开 Microsoft 365 Defender 并导航到Advanced Hunting。。。。。。

3.复制以下盘问（也可在 Microsoft 365 Defender GitHub高级狩猎盘问中找到），，，，，，，查找异常装备名称更改：

IdentityDirectoryEvents

| where Timestamp > ago(1d)

| where ActionType == "SAM Account Name changed"

| extend FROMSAM = parse_json(AdditionalFields)['FROM SAM Account Name']

| extend TOSAM = parse_json(AdditionalFields)['TO SAM Account Name']

| where (FROMSAM has "$" and TOSAM !has "$")

or TOSAM in ("DC1", "DC2", "DC3", "DC4") // DC Names in the org

| project Timestamp, Application, ActionType, TargetDeviceName, FROMSAM, TOSAM, ReportId, AdditionalFields

4.用域控制器的命名约定替换标记区域

5.运行盘问并剖析包括受影响装备的效果。。。。。�？？？梢允褂肳indows 事务 4741查找这些盘算机的建设者（若是它们是新建设的）。。。。。。

6.建议视察这些被熏染的盘算机并确定它们没有被武器化。。。。。。

7.确保使用以下知识库文章中详述的办法和信息更新遭受攻击的装备：KB5008102、KB5008380、KB5008602。。。。。。

0x03 参考链接

https://techcommunity.microsoft.com/t5/security-compliance-and-identity/sam-name-impersonation/ba-p/3042699

https://twitter.com/safe_buffer/status/1469742616505954323

https://support.microsoft.com/en-us/topic/kb5008102-active-directory-security-accounts-manager-hardening-changes-cve-2021-42278-5975b463-4c95-45e1-831a-d120004e258e

https://www.bleepingcomputer.com/news/microsoft/microsoft-warns-of-easy-windows-domain-takeover-via-active-directory-bugs/

0x04 更新版本

版本	日期	修改内容
V1.0	2021-12-21	首次宣布

0x05 关于鉴黑担保网

鉴黑担保网简介

鉴黑担保网公司建设于1996年，，，，，，，并于2010年6月23日在深交所中小板正式挂牌上市，，，，，，，是海内最具实力的信息清静产品和清静治理平台、清静效劳与解决计划的领航企业之一。。。。。。

公司总部位于北京市中关村软件园，，，，，，，在天下各省、市、自治区设立分支机构六十多个，，，，，，，拥有笼罩天下的销售系统、渠道系统和手艺支持系统；；；；；；；并在华北、华东、西南和华南结构四大研发中心，，，，，，，划分为北京研发总部、上海研发中心、成都研发中心和广州研发中心。。。。。。

多年来，，，，，，，鉴黑担保网致力于提供具有国际竞争力的自主立异的清静产品和最佳实践效劳，，，，，，，资助客户周全提升其IT基础设施的清静性和生产效能，，，，，，，为打造和提升国际化的民族信息清静工业领军品牌而不懈起劲。。。。。。

关于鉴黑担保网

鉴黑担保网清静应急响应中心主要针对主要清静误差的预警、跟踪和分享全球最新的威胁情报和清静报告。。。。。。

关注以下公众号，，，，，，，获取全球最新清静资讯：

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】