Rilevare la Catena di Sfruttamento di CVE-2021-42287, CVE-2021-42278
Indice:
Gli avversari hanno trovato un modo per ottenere i pieni diritti di amministratore sui domini Active Directory (AD) usando come arma le vulnerabilità CVE-2021-42287 e CVE-2021-42278. La nefasta catena di sfruttamento consente l’impersonificazione del dominio Active Directory in pochi click.
Un insieme di vulnerabilità legate a questa catena di sfruttamento ha attirato l’attenzione dei professionisti della sicurezza a novembre 2021. In vista della notorietà di queste falle e del crescente fermento attorno ad esse, Microsoft ha prontamente emesso una patch con il suo Patch Tuesday di novembre 2021. Tuttavia, le procedure di mitigazione e di applicazione delle patch richiedono tempo, specialmente per le grandi reti aziendali, lasciando molti domini AD esposti agli attacchi.
CVE-2021-42278: Spoofing sAMAccountName
Avviso da parte di Microsoft spiega che CVE-2021-42278 è un problema di bypass della sicurezza che consente agli avversari di prendere il controllo di un domain controller sfruttando lo spoofing del sAMAccountName. In particolare, i meccanismi di convalida AD non controllano il carattere $ alla fine del nome dell’account del computer, sebbene tutti i nomi delle macchine dovrebbero concludersi con esso.
CVE-2021-42287: Elevazione dei privilegi dei controller di dominio Active Directory
Microsoft descrive CVE-2021-42287 come una vulnerabilità di bypass della sicurezza che colpisce il Certificato di Attributo di Privilegio Kerberos (PAC). La falla deriva da una configurazione errata del KDC che permette a qualsiasi account del computer di impersonare i domini AD.
Se concatenati, i sopracitati difetti di sicurezza consentono agli hacker di ottenere i diritti di amministratore del dominio in qualsiasi ambiente Active Directory. La catena di sfruttamento è estremamente semplice da utilizzare, permettendo agli avversari di elevare i propri privilegi anche senza accesso all’account utente standard sottostante.
CVE-2021-42287, CVE-2021-42278 Rilevamento e Mitigazione
Microsoft ha rilasciato raccomandazioni su come aiutare le organizzazioni a proteggere la loro infrastruttura contro possibili attacchi di bypass della sicurezza. Prima di tutto, tutti i dispositivi che ospitano il ruolo di controller di dominio AD devono installare l’aggiornamento del 9 novembre 2021. Una volta installato per un periodo di almeno 7 giorni, la modalità di Enforcement dovrebbe essere attivata su tutti i controller di dominio correlati. Con il rilascio del 12 luglio 2022, la modalità di Enforcement sarà attivata come passo necessario di mitigazione.
Per aiutare le organizzazioni a rilevare tempestivamente la catena di sfruttamento ad alta gravità, il SOC Prime Team ha recentemente rilasciato la regola comportamentale dedicata basata su Sigma. I performer della sicurezza possono scaricare la regola direttamente dalla piattaforma Detection as Code di SOC Prime:
Il rilevamento ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Azure Sentinel, Elastic Stack, LimaCharlie, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix e Open Distro.
La regola è allineata con l’ultimo framework MITRE ATT&CK® v.10, affrontando la tattica di Elevazione di Privilegi con lo Sfruttamento per Elevazione di Privilegi come tecnica principale (T1068).
Unisciti alla piattaforma Detection as Code di SOC Prime gratuitamente per identificare le minacce critiche nella tua infrastruttura e migliorare la postura di cybersecurity dell’organizzazione. I professionisti della sicurezza che si sforzano di condividere il proprio contenuto di rilevamento con la più grande comunità di cybersecurity al mondo sono invitati a unirsi al SOC Prime Threat Bounty Program per rimanere connessi per un futuro digitale più sicuro.
