Detectar a Cadeia de Exploração CVE-2021-42287, CVE-2021-42278
Índice:
Os adversários encontraram uma maneira de obter direitos administrativos completos nos domínios Active Directory (AD) ao explorar as vulnerabilidades CVE-2021-42287 e CVE-2021-42278. A cadeia de exploração nefasta permite a personificação de domínios Active Directory com apenas alguns cliques.
Um conjunto de vulnerabilidades associado a essa cadeia de exploração chamou a atenção dos profissionais de segurança em novembro de 2021. Em vista da notoriedade das falhas e do crescente interesse em torno delas, a Microsoft prontamente emitiu um patch com seu Patch Tuesday de novembro de 2021. No entanto, os procedimentos de mitigação e aplicação de patches levam tempo, especialmente para grandes redes corporativas, deixando muitos domínios AD expostos aos ataques.
CVE-2021-42278: Falsificação de sAMAccountName
Aviso da Microsoft detalha que o CVE-2021-42278 é uma questão de desvio de segurança que permite aos adversários possuir um controlador de domínio ao explorar a falsificação de sAMAccountName. Em particular, os mecanismos de validação do AD não verificam o caractere $ no final do nome da conta do computador, embora todos os nomes de máquinas devam terminar com ele.
CVE-2021-42287: Elevação de Privilégios dos Controladores de Domínio do Active Directory
A Microsoft descreve o CVE-2021-42287 como uma vulnerabilidade de desvio de segurança que afeta o Certificado de Atributo de Privilégio Kerberos (PAC). A falha se origina de uma configuração incorreta do KDC que permite a qualquer conta de computador personificar domínios AD.
Se encadeados, os defeitos de segurança acima permitem que hackers obtenham os direitos de Administrador de Domínio em qualquer ambiente Active Directory. A cadeia de exploração é extremamente fácil de aproveitar, permitindo que os adversários elevem seus privilégios mesmo sem acesso à conta de usuário padrão subjacente.
Detecção e Mitigação de CVE-2021-42287, CVE-2021-42278
A Microsoft emitiu recomendações sobre como ajudar as organizações a proteger sua infraestrutura contra possíveis ataques de desvio de segurança. Em primeiro lugar, todos os dispositivos que hospedam o papel de controlador de domínio AD precisam instalar a atualização de 9 de novembro de 2021. Uma vez instalada por pelo menos um período de 7 dias, o modo de Aplicação deve ser ativado em todos os controladores de domínio relacionados. Com o lançamento de 12 de julho de 2022, o modo de Aplicação será ativado como uma etapa de mitigação obrigatória.
Para ajudar as organizações a detectarem em tempo hábil a cadeia de exploração de alta gravidade, a Equipe SOC Prime lançou recentemente a regra dedicada baseada em comportamento Sigma. Os profissionais de segurança podem baixar a regra diretamente da plataforma Detection as Code da SOC Prime:
A detecção tem traduções para as seguintes plataformas SIEM, EDR & XDR: Azure Sentinel, Elastic Stack, LimaCharlie, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix e Open Distro.
A regra está alinhada com o último framework MITRE ATT&CK® v.10, abordando a tática de Escalação de Privilégios com Exploração para Escalação de Privilégios como a técnica principal (T1068).
Junte-se à plataforma Detection as Code da SOC Prime gratuitamente para identificar as ameaças críticas em sua infraestrutura e melhorar a postura de segurança cibernética da organização. Profissionais de segurança que desejam compartilhar seu próprio conteúdo de detecção com a maior comunidade de segurança cibernética do mundo são bem-vindos para se juntar ao Programa Threat Bounty da SOC Prime para permanecer conectado por um futuro digital mais seguro.
