微软:这两个活动目录漏洞可使攻击者轻易接管 Windows 域名
编译:代码卫士
这两个漏洞是由 Catalyst IT 公司的研究员 Andrew Bartlett 发现并报告的,安全更新已在2021年11月补丁星期二中发布。
由于这两个漏洞的 PoC 工具已出现在网络,因此微软提醒客户立即修复这两个可导致攻击者假冒域名控制器的漏洞。
微软在今天发布的安全公告中解释称,“攻击者能够组合利用这两个漏洞,在未应用这些更新的活动目录环境中创建域名管理员用户的直接路径。和以往一样,我们强烈建议尽快在域名控制器上部署最新补丁。”
微软督促Windows 管理员按照微软发布的知识库文章 KB5008102、KB5008380和KB5008602 修复这两个漏洞。
研究人员测试称可轻松通过遭公开的 PoC 工具,在默认配置下从标准的活动目录用户提权至域名管理员。
微软还分享了如何检测用户环境中利用迹象并使用 Defender for Identity高阶查询找到异常设备名称变更以识别潜在受陷服务器的详细指南。
指南要求防御人员:
1、sAMAccountName 变更基于事件4662,需确保在域名控制器上已启用才能捕获到这类活动。
2、打开 Microsoft 365 Defender 并导航至 Advanced Hunting。
3、复制如下查询(也可在 Microsoft 365 Defender GitHub Advanced Hunting 查询中找到):
IdentityDirectoryEvents| where Timestamp > ago(1d)| where ActionType == "SAM Account Name changed"| extend FROMSAM = parse_json(AdditionalFields)['FROM SAM Account Name']| extend TOSAM = parse_json(AdditionalFields)['TO SAM Account Name']| where (FROMSAM has "$" and TOSAM !has "$") or TOSAM in ("DC1", "DC2", "DC3", "DC4") // DC Names in the org| project Timestamp, Application, ActionType, TargetDeviceName, FROMSAM, TOSAM, ReportId, AdditionalFields4、通过域名控制器的命名约定取代标记区域。
5、运行该查询并分析包含受影响设备的结果。用户可使用 Windows Event 4741 找到这些机器的创始人查询机器是否为新建。
6、建议调查受陷计算机并判断这些设备未被武器化。
微软表示,“研究团队继续致力于通过查询或其它检测,创建更多检测这些漏洞的方法。”
QakBot银行木马导致大量活动目录用户被锁
微软12月补丁星期二值得关注的6个0day及其它
黑客利用微软 MSHTML漏洞窃取谷歌和Instagram 凭据
https://www.bleepingcomputer.com/news/microsoft/microsoft-warns-of-easy-windows-domain-takeover-via-active-directory-bugs/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。