Detectar la cadena de explotación CVE-2021-42287, CVE-2021-42278
Tabla de contenidos:
Los adversarios han encontrado una manera de obtener derechos de administrador completos en los dominios de Active Directory (AD) al aplicar armas a las vulnerabilidades CVE-2021-42287 y CVE-2021-42278. La cadena de explotación nefasta permite la suplantación de dominio de Active Directory en solo un par de clics.
Un grupo de vulnerabilidades vinculadas a esta cadena de explotación captó la atención de los profesionales de la seguridad en noviembre de 2021. En vista de la notoriedad de las fallas y el creciente auge en torno a ellas, Microsoft ha emitido rápidamente un parche con sus correcciones del Martes de Parche de noviembre de 2021.Sin embargo, los procedimientos de mitigación y parcheo llevan tiempo, especialmente para grandes redes corporativas, dejando muchos dominios de AD expuestos a los ataques.
CVE-2021-42278: suplantación de sAMAccountName
Advertencia de Microsoft detalla que CVE-2021-42278 es un problema de omisión de seguridad que permite a los adversarios poseer un controlador de dominio aprovechando la suplantación de sAMAccountName. En particular, los mecanismos de validación de AD no verifican el carácter $ al final del nombre de cuenta de la computadora, aunque todos los nombres de máquinas deberían terminar con él.
CVE-2021-42287: Elevación de Privilegios de Controladores de Dominio de Active Directory
Microsoft describe CVE-2021-42287 como una vulnerabilidad de omisión de seguridad que afecta el Certificado de Atributo de Privilegio (PAC) de Kerberos. El fallo surge de una configuración incorrecta del KDC que permite que cualquier cuenta de computadora suplante dominios de AD.
Si se encadenan, las fallas de seguridad anteriores permiten a los hackers alcanzar los derechos de Administrador de Dominio en cualquier entorno de Active Directory. La cadena de explotación es extremadamente fácil de aprovechar, permitiendo a los adversarios elevar sus privilegios incluso sin acceso a la cuenta de usuario estándar subyacente.
Detección y mitigación de CVE-2021-42287, CVE-2021-42278
Microsoft ha emitido recomendaciones sobre cómo ayudar a las organizaciones a proteger su infraestructura contra posibles ataques de omisión de seguridad. En primer lugar, todos los dispositivos que alojen el rol de controlador de dominio de AD deben instalar la actualización del 9 de noviembre de 2021. Una vez instalada por no menos de 7 días, el modo de Aplicación debe habilitarse en todos los controladores de dominio relacionados. Con la versión del 12 de julio de 2022, el modo de Aplicación se habilitará como un paso de mitigación requerido.
Para ayudar a las organizaciones a detectar a tiempo la cadena de explotación de alta gravedad, el equipo de SOC Prime ha lanzado recientemente la regla dedicada basada en comportamiento Sigma. Los profesionales de seguridad pueden descargar la regla directamente desde la plataforma Detection as Code de SOC Prime:
La detección tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Azure Sentinel, Elastic Stack, LimaCharlie, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix y Open Distro.
La regla está alineada con el último marco de MITRE ATT&CK® v.10, abordando la táctica de Escalación de Privilegios con la Explotación para la Escalación de Privilegios como la técnica principal (T1068).
Únase a la plataforma Detection as Code de SOC Prime de forma gratuita para identificar las amenazas críticas en su infraestructura y mejorar la postura de ciberseguridad de la organización. Los profesionales de seguridad que buscan compartir su propio contenido de detección con la comunidad de ciberseguridad más grande del mundo son bienvenidos a unirse al Programa de Recompensas de Amenazas de SOC Prime para mantenerse conectados por un futuro digital más seguro.
