Erkennung der Ausnutzungskette von CVE-2021-42287 und CVE-2021-42278
Inhaltsverzeichnis:
Gegnerische Akteure haben einen Weg gefunden, vollständige Administratorrechte auf Active Directory (AD)-Domänen zu erlangen, indem sie die Schwachstellen CVE-2021-42287 und CVE-2021-42278 ausnutzen. Die bösartige Ausnutzungskette ermöglicht die Imitation von Active Directory-Domänen in nur wenigen Klicks.
Ein Bündel von Schwachstellen, das mit dieser Ausnutzungskette verbunden ist, erregte im November 2021 die Aufmerksamkeit von Sicherheitsfachleuten. Angesichts des Rufes der Schwachstellen und des zunehmenden Hypes darum hat Microsoft schnell einen Patch herausgegeben mit seinen November 2021 Patch Tuesday Korrekturen. Dennoch dauern die Abminderungs- und Patch-Prozeduren Zeit, insbesondere für große Unternehmensnetzwerke, was viele AD-Domänen anfällig für Angriffe lässt.
CVE-2021-42278: sAMAccountName-Spoofing
Empfehlung von Microsoft erläutert, dass CVE-2021-42278 ein Sicherheitsumgehungsproblem ist, das es Gegnern ermöglicht, sich einen Domänencontroller zu eigen zu machen, indem sie sAMAccountName-Spoofing nutzen. Insbesondere überpüfen die AD-Validierungsmechanismen nicht das $-Zeichen am Ende des Computerkontonamens, obwohl alle Computernamen damit enden sollten.
CVE-2021-42287: Erhöhung der Privilegien von Active Directory-Domänencontrollern
Microsoft beschreibt CVE-2021-42287 als eine Sicherheitsumgehungsschwachstelle, die das Kerberos Privilege Attribute Certificate (PAC) betrifft. Der Fehler resultiert aus einer Fehlkonfiguration des KDC, die es jedem Computerkonto ermöglicht, AD-Domänen zu imitieren.
Wenn sie verkettet sind, ermöglichen die oben genannten Sicherheitsmängel Hackern, die Domain-Admin-Rechte in jeder Active Directory-Umgebung zu erreichen. Die Ausnutzungskette ist extrem einfach zu nutzen und ermöglicht es Gegnern, ihre Privilegien zu erhöhen, selbst ohne Zugang zum zugrunde liegenden Standardbenutzerkonto.
CVE-2021-42287, CVE-2021-42278 Erkennung und Abmilderung
Microsoft hat Empfehlungen herausgegeben, wie Organisationen ihre Infrastruktur gegen mögliche Sicherheitsumgehungsangriffe schützen können. Zunächst müssen alle Geräte, die die AD-Domänencontroller-Rolle hosten, das Update vom 9. November 2021 installieren. Einmal installiert, sollte der Erzwingungsmodus für nicht weniger als einen 7-Tage-Zeitraum auf allen zugehörigen Domänencontrollern aktiviert werden. Mit der Veröffentlichung vom 12. Juli 2022 wird der Erzwingungsmodus als erforderlicher Abminderungsschritt aktiviert.
Um Organisationen die rechtzeitige Erkennung der hochgradigen Ausnutzungskette zu ermöglichen, hat das SOC Prime Team kürzlich die dedizierte, verhaltensbasierte Sigma-Regel veröffentlicht. Sicherheitsakteure können die Regel direkt von SOC Prime’s Detection as Code Plattform herunterladen:
Die Erkennung hat Übersetzungen für die folgenden SIEM-, EDR- & XDR-Plattformen: Azure Sentinel, Elastic Stack, LimaCharlie, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix und Open Distro.
Die Regel ist mit dem neuesten MITRE ATT&CK®-Framework v.10 abgestimmt und adressiert die Taktik der Privilegieneskalation mit Ausnutzung zur Privilegieneskalation als Haupttechnik (T1068).
Treten Sie der Detection-as-Code-Plattform von SOC Prime kostenlos bei, um die kritischen Bedrohungen in Ihrer Infrastruktur zu identifizieren und die Cybersicherheitslage der Organisation zu verbessern. Sicherheitsfachleute, die bestrebt sind, ihre eigenen Erkennungsinhalte mit der weltweit größten Cybersicherheitsgemeinschaft zu teilen, sind eingeladen, dem SOC Prime Threat Bounty Program beizutreten, um für eine sicherere digitale Zukunft verbunden zu bleiben.
