Détecter la chaîne d’exploitation CVE-2021-42287, CVE-2021-42278
Table des matières :
Les adversaires ont trouvé un moyen d’obtenir des droits administrateur complets sur les domaines Active Directory (AD) en exploitant les vulnérabilités CVE-2021-42287 et CVE-2021-42278. Cette chaîne d’exploitation néfaste permet l’usurpation de domaine Active Directory en seulement quelques clics.
Un ensemble de vulnérabilités liées à cette chaîne d’exploitation a attiré l’attention des professionnels de la sécurité en novembre 2021. Compte tenu de la notoriété des failles et de l’engouement croissant autour d’elles, Microsoft a rapidement publié un correctif avec ses correctifs de novembre 2021 Patch Tuesday. Cependant, les procédures d’atténuation et de correction prennent du temps, surtout pour les grands réseaux d’entreprise, laissant de nombreux domaines AD exposés aux attaques.
CVE-2021-42278 : usurpation de sAMAccountName
L’avis de Microsoft précise que CVE-2021-42278 est un problème de contournement de sécurité permettant aux adversaires de prendre le contrôle d’un contrôleur de domaine en exploitant l’usurpation de sAMAccountName. En particulier, les mécanismes de validation AD ne vérifient pas le caractère $ à la fin du nom de compte d’ordinateur, bien que tous les noms de machine devraient se terminer par celui-ci.
CVE-2021-42287 : élévation de privilèges des contrôleurs de domaine Active Directory
Microsoft décrit CVE-2021-42287 comme une vulnérabilité de contournement de sécurité affectant le certificat d’attribut de privilège Kerberos (PAC). La faille provient d’une mauvaise configuration du KDC permettant à tout compte d’ordinateur d’usurper les domaines AD.
Si elles sont enchaînées, les failles de sécurité ci-dessus permettent aux hackers d’atteindre les droits d’Admin de Domaine dans tout environnement Active Directory. La chaîne d’exploitation est extrêmement facile à utiliser, permettant aux adversaires d’élever leurs privilèges même sans accès au compte utilisateur standard sous-jacent.
Détection et atténuation de CVE-2021-42287, CVE-2021-42278
Microsoft a émis des recommandations sur la façon d’aider les organisations à protéger leur infrastructure contre de possibles attaques de contournement de sécurité. Tout d’abord, tous les dispositifs hébergeant le rôle de contrôleur de domaine AD doivent installer la mise à jour du 9 novembre 2021. Une fois installée pendant une période d’au moins 7 jours, le mode d’application doit être activé sur tous les contrôleurs de domaine concernés. Avec la version du 12 juillet 2022, le mode d’application sera activé comme une étape d’atténuation requise.
Pour aider les organisations à détecter à temps la chaîne d’exploitation de haute sévérité, l’équipe SOC Prime a récemment publié la règle dédiée basée sur le comportement Sigma. Les acteurs de la sécurité peuvent télécharger la règle directement depuis la plateforme Detection as Code de SOC Prime :
La détection a des traductions pour les plateformes SIEM, EDR et XDR suivantes : Azure Sentinel, Elastic Stack, LimaCharlie, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, et Open Distro.
La règle est alignée avec le dernier cadre MITRE ATT&CK® v.10, abordant la tactique d’élévation de privilèges avec Exploitation pour élévation de privilèges comme technique principale (T1068).
Rejoignez la plateforme Detection as Code de SOC Prime gratuitement pour identifier les menaces critiques dans votre infrastructure et améliorer la posture de cybersécurité de l’organisation. Les professionnels de la sécurité désireux de partager leur propre contenu de détection avec la plus grande communauté de cybersécurité au monde sont invités à rejoindre le programme Threat Bounty de SOC Prime pour rester connectés pour un avenir numérique plus sûr.
