CVE-2021-42287、CVE-2021-42278 エクスプロイトチェーンの検出

敵対者は、CVE-2021-42287およびCVE-2021-42278の脆弱性を武器化することで、Active Directory (AD) ドメインに対する完全な管理者権限を取得する方法を見つけました。この悪意のあるエクスプロイトチェーンにより、わずか数クリックでActive Directoryドメインの偽装が可能となります。

このエクスプロイトチェーンに関連する一連の脆弱性は、2021年11月にセキュリティ専門家の注目を集めました。脆弱性の悪名とそれに対する関心が高まる中、Microsoftは 2021年11月のPatch Tuesdayで修正を迅速に行いました。しかし、特に大規模な企業ネットワークでは、緩和策とパッチ適用手順に時間がかかり、多くのADドメインが攻撃にさらされています。

CVE-2021-42278: sAMAccountNameの偽装

アドバイザリ によると、CVE-2021-42278は、sAMAccountNameの偽装を利用して敵対者がドメインコントローラーを所有できるセキュリティバイパス問題です。特にADの検証メカニズムは、コンピューターアカウント名の末尾にあるべき$文字を確認しません。

CVE-2021-42287: Active Directoryドメインコントローラーの権限昇格

Microsoft では CVE-2021-42287をKerberos Privilege Attribute Certificate (PAC) に影響を及ぼすセキュリティバイパスの脆弱性として説明します。この欠陥は、ADドメインをどのコンピューターアカウントでも偽装可能にするKDCの設定ミスが原因です。

上記のセキュリティの不具合を連動させると、ハッカーはどのActive Directory環境でもDomain Admin権限に到達できます。このエクスプロイトチェーンは非常に簡単に利用でき、下層の標準ユーザーアカウントへのアクセスがなくても敵対者に権限を昇格させる可能性があります。

CVE-2021-42287、CVE-2021-42278の検出と緩和

Microsoftは組織が可能なセキュリティバイパス攻撃からインフラを保護する方法について推奨事項を発行しました。まず、ADドメインコントローラーの役割を持つすべてのデバイスに2021年11月9日の更新をインストールする必要があります。7日以上の期間インストールされた後、関連するすべてのドメインコントローラーで、エンフォースメントモードが有効化されるべきです。2022年7月12日のリリースでは、エンフォースメントモードは必須の緩和手順として有効化されます。

高い重大度のエクスプロイトチェーンを迅速に検出するのを支援するために、SOC Primeチームは最近、専用のSigma行動ベースルールをリリースしました。セキュリティパフォーマーは、SOC PrimeのDetection as Codeプラットフォームからルールをダウンロードできます：

CVE-2021-42287/CVE-2021-42278のエクスプロイトチェーンの一部となる可能性 [AD Privilege Escalation/sAMAccountName Spoofing]（監査経由）

検出は以下のSIEM、EDR & XDRプラットフォーム向けの翻訳を含みます：Azure Sentinel、Elastic Stack、LimaCharlie、Splunk、Humio、Sumo Logic、ArcSight、QRadar、FireEye、LogPoint、Graylog、Regex Grep、Microsoft PowerShell、RSA NetWitness、Apache Kafka ksqlDB、Securonix、Open Distro。

このルールはMITRE ATT&CK®フレームワークv.10に準拠しており、権限昇格の戦術に対してPrivilege Escalationのエクスプロイトを主要技術（T1068）として取り扱っています。

SOC PrimeのDetection as Codeプラットフォームに無料で参加し、インフラの重大な脅威を特定し、組織のサイバーセキュリティ態勢を改善してください。自身の検出コンテンツを世界最大のサイバーセキュリティコミュニティと共有しようとするセキュリティ専門家は、SOC Prime Threat Bounty Programに参加し、安全なデジタルな未来のために繋がり続けることを歓迎します。

プラットフォームへ移動 Threat Bountyに参加