CVE-2021-42287, CVE-2021-42278 악용 체인 탐지
목차:
공격자가 CVE-2021-42287 및 CVE-2021-42278 취약점을 악용하여 Active Directory (AD) 도메인에 대한 전체 관리자 권한을 얻는 방법을 발견했습니다. 이 악의적인 악용 체인은 단 몇 번의 클릭만으로 Active Directory 도메인 위장을 가능하게 합니다.
이 악용 체인과 관련된 일련의 취약점이 2021년 11월에 보안 전문가들의 주목을 받았습니다. 이 결함의 악명 높은 평판과 증가하는 관심을 고려하여 Microsoft는 이를 해결하기 위해 신속하게 패치를 발행했습니다. 2021년 11월 패치 화요일 수정사항그러나 완화 및 패치 절차에는 시간이 걸리며, 특히 대기업 네트워크의 경우 많은 AD 도메인이 공격에 노출되어 있습니다.
CVE-2021-42278: sAMAccountName 스푸핑
용고문 Microsoft의 자문 문서에 따르면 CVE-2021-42278은 sAMAccountName 스푸핑을 활용하여 공격자가 도메인 컨트롤러를 소유할 수 있게 하는 보안 우회 문제입니다. 특히, AD 검증 메커니즘은 컴퓨터 계정 이름 끝에 있는 $ 문자를 확인하지 않으며, 모든 머신 이름은 이 문자로 끝나야 합니다.
CVE-2021-42287: Active Directory 도메인 컨트롤러 권한 상승
Microsoft 은 기술합니다 CVE-2021-42287은 Kerberos 권한 속성 인증서 (PAC)에 영향을 미치는 보안 우회 취약점입니다. 이 결함은 모든 컴퓨터 계정이 AD 도메인을 위장할 수 있게 하여 KDC 오동작에서 비롯됩니다.
위의 보안 결함이 연결되면 해커는 모든 Active Directory 환경에서 도메인 관리자 권한에 도달할 수 있습니다. 이 악용 체인은 매우 간단하게 활용될 수 있으며, 공격자가 기본 표준 사용자 계정에 대한 접근 없이도 권한을 상승시킬 수 있게 합니다.
CVE-2021-42287, CVE-2021-42278 탐지 및 완화
Microsoft는 가능한 보안 우회 공격으로부터 인프라를 보호하는 방법에 대한 권장 사항을 발행했습니다. 우선, AD 도메인 컨트롤러 역할을 호스팅하는 모든 장치에 2021년 11월 9일 업데이트를 설치해야 합니다. 설치 후 최소 7일 기간 동안 적용된 후, 모든 관련 도메인 컨트롤러에서 시행 모드를 활성화해야 합니다. 2022년 7월 12일 릴리스로, 시행 모드는 필수 완화 단계로 활성화됩니다.
조직이 고위험 악용 체인을 적시에 탐지할 수 있도록 SOC Prime 팀은 최근 전용 Sigma 행동 기반 규칙을 발표했습니다. 보안 수행자는 SOC Prime의 Detection as Code 플랫폼에서 규칙을 바로 다운로드할 수 있습니다:
CVE-2021-42287/CVE-2021-42278 악용 체인의 가능한 부분 [AD 권한 상승/sAMAccountName 스푸핑] (감사 통해)
탐지는 다음 SIEM, EDR 및 XDR 플랫폼에 대한 번역을 가지고 있습니다: Azure Sentinel, Elastic Stack, LimaCharlie, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix 및 Open Distro.
이 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10과 일치하며, 권한 상승 전술을 다루며 권한 상승 악용을 주요 기술 (T1068)로 삼고 있습니다.
무료로 SOC Prime의 Detection as Code 플랫폼에 가입하여 인프라의 주요 위협을 식별하고 조직의 사이버 보안 태세를 개선하십시오. 자신의 탐지 콘텐츠를 세계 최대 사이버 보안 커뮤니티와 공유하고자 하는 보안 전문가들은 SOC Prime Threat Bounty Program에 가입하여 더 안전한 디지털 미래를 위한 연결을 유지하는 것을 환영합니다.
