Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • EW2112-063 Early Warning - Actualizaciones Urgentes para Active Directory en Windows Server

    Cargado por

    Darkneside Walker
    83 vistas4 páginas
    El documento describe dos vulnerabilidades recientes en Active Directory de Windows Server (CVE-2021-42287 y CVE-2021-42278) que permiten a un atacante elevar privilegios en un dominio. Microsoft lanzó actualizaciones para corregir estas vulnerabilidades de alto riesgo. Se recomienda aplicar las actualizaciones lo antes posible y revisar los sistemas en busca de posibles compromisos.

    Descripción original:

    Actiualizaciones para AD

    Título original

    EW2112-063 Early Warning - Actualizaciones urgentes para Active Directory en Windows Server

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    El documento describe dos vulnerabilidades recientes en Active Directory de Windows Server (CVE-2021-42287 y CVE-2021-42278) que permiten a un atacante elevar privilegios en un dominio. Microsoft lanzó actualizaciones para corregir estas vulnerabilidades de alto riesgo. Se recomienda aplicar las actualizaciones lo antes posible y revisar los sistemas en busca de posibles compromisos.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    83 vistas4 páginas

    EW2112-063 Early Warning - Actualizaciones Urgentes para Active Directory en Windows Server

    Cargado por

    Darkneside Walker
    El documento describe dos vulnerabilidades recientes en Active Directory de Windows Server (CVE-2021-42287 y CVE-2021-42278) que permiten a un atacante elevar privilegios en un dominio. Microsoft lanzó actualizaciones para corregir estas vulnerabilidades de alto riesgo. Se recomienda aplicar las actualizaciones lo antes posible y revisar los sistemas en busca de posibles compromisos.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 4

    TLP:GREEN

    TLP:AMBER

    Early Warning
    “Actualizaciones urgentes para Active Directory en Windows
    Server”
    ID: EW2112-063

    "La información contenida en este documento es propiedad intelectual de Scitum, S.A. de C.V., y constituye secreto industrial, por lo que queda estrictamente prohibida su reproducción, modificación, divulgación,
    uso o aprovechamiento por cualquier medio impreso, mecánico o electrónico sin la autorización previa por escrito de Scitum”.

    TLP:GREEN
    TLP:GREEN

    Descripción de las vulnerabilidades 21 de diciembre de 2021

    Actualizaciones urgentes para Active Directory en Windows Server

    El siguiente reporte tiene como objetivo informar acerca de las actualizaciones liberadas por Microsoft que corrigen
    las vulnerabilidades registradas con los identificadores CVE-2021-42287 y CVE-2021-42278, que tienen un nivel de
    severidad alto y una puntuación CVSS de 8.8.

    Un atacante puede aprovechar las dos vulnerabilidades mencionadas para elevar privilegios en un entorno de Active
    Directory, una vez que ha sido comprometido un usuario común en el dominio. Es importante mencionar que Microsoft
    liberó las actualizaciones1,2,3 que corrigen estas vulnerabilidades durante el ciclo de actualización de seguridad de
    noviembre.

    De acuerdo con los KB publicados por Microsoft, las actualizaciones aplican a las siguientes versiones de Windows
    Server:

    • Windows Server 2022


    • Windows Server 2019
    • Windows Server 2016
    • Windows Server 2012 R2
    • Windows Server 2012
    • Windows Server 2008 R2
    • Windows Server 2008 Service Pack 2

    Por otro lado, el 11 de diciembre fue publicada en Twitter 4 una prueba de concepto 5 (PoC) para explotar las
    vulnerabilidades por lo que se recomienda implementar las actualizaciones liberadas por Microsoft lo antes posible.

    Análisis

    La vulnerabilidad registrada con el identificador CVE-2021-42278, puede permitir a los atacantes hacerse pasar por
    un controlador de dominio mediante la suplantación del atributo sAMAccountName. Este atributo generalmente
    termina con el símbolo “$” y es utilizado para distinguir entre objetos de usuario y objetos de computadora. Es
    importante mencionar que, no existen restricciones ni validaciones para cambiar el atributo o para incluir u omitir el
    símbolo “$”. Debido a esto, cuando no se aplica el parche correspondiente, un usuario normal tiene permisos para
    modificar la cuenta de una máquina y como propietario, también tiene permisos para editar su atributo
    sAMAccountName.

    1 https://support.microsoft.com/en-us/topic/november-14-2021-kb5008602-os-build-17763-2305-out-of-band-8583a8a3-ebed-4829-b285-356fb5aaacd7
    2 https://support.microsoft.com/en-us/topic/kb5008102-active-directory-security-accounts-manager-hardening-changes-cve-2021-42278-5975b463-4c95-45e1-831a-
    d120004e258e
    3 https://support.microsoft.com/en-us/topic/kb5008380-authentication-updates-cve-2021-42287-9dafac11-e0d0-4cb8-959a-143bd0201041
    4 https://twitter.com/safe_buffer/status/1469742616505954323
    5 https://github.com/WazeHell/sam-the-admin

    2 de 4

    TLP:GREEN
    TLP:GREEN

    Ilustración 1 - Atributo sAMAccountName del objeto de computadora

    La vulnerabilidad registrada con el identificador CVE-2021-42287 afecta al certificado de atributo de privilegio de


    Kerberos (PAC) y puede permitir a los atacantes hacerse pasar por controladores de dominio. Al realizar una
    autenticación mediante Kerberos, el Centro de Distribución de Claves (KDC) solicita el Ticket-Granting-Ticket (TGT)
    y el siguiente Ticket-Granting-Service (TGS), en caso de que se solicite un TGS para una cuenta que no se pudo
    encontrar, el KDC intentará buscarlo nuevamente con un $ al final.

    Bajo esa premisa, si hay un controlador de dominio con un nombre de cuenta SAM de DC1$, un atacante puede crear
    una nueva cuenta de máquina y cambiar el nombre de su cuenta SAM a DC1, solicitar un TGT, renombrarlo de nuevo
    y solicitar un ticket TGS. Al procesar la solicitud TGS, el KDC fallará en su búsqueda de la máquina solicitante DC1
    que el atacante había creado, por lo tanto, el KDC realizará otra búsqueda agregando un símbolo “$” al final y la
    búsqueda se realizará correctamente. Como resultado, el KDC emitirá el ticket utilizando los privilegios de DC1$

    Al combinar las dos vulnerabilidades, un atacante con credenciales de usuario de dominio puede aprovecharlas para
    otorgar acceso como administrador de dominio.

    Recomendaciones

    • Se recomienda a los usuarios afectados que implementen las actualizaciones KB5008102, KB5008380 y
    KB5008602 liberadas por Microsoft lo antes posible.
    • Adicionalmente, Microsoft recomienda 6 identificar equipos potencialmente comprometidos realizando los
    siguientes pasos:
    o El cambio de sAMAccountName se basa en el evento 4662. Asegúrese de habilitarlo en el controlador
    de dominio para detectar tales actividades
    o Abrir Microsoft 365 Defender y dirigirse hacia Advanced Hunting

    6
    https://techcommunity.microsoft.com/t5/security-compliance-and-identity/sam-name-impersonation/ba-p/3042699
    3 de 4

    TLP:GREEN
    TLP:GREEN

    o Copiar la siguiente consulta, la cual se encuentra disponible en el GitHub 7 oficial de Microsoft 365
    defender

    Ilustración 2 - Consulta de búsqueda avanzada

    o Reemplazar los valores con la convención de nomenclatura de sus controladores de dominio


    o Ejecute la consulta y analice los resultados que contienen los dispositivos afectados (se puede utilizar el
    evento 4741 de Windows para encontrar al creador de las máquinas, si fueron creadas recientemente)

    Referencias

    • https://threatpost.com/active-directory-bugs-windows-domain-takeover/177185/?utm_source=dlvr.it&utm_medium=linkedin
    • https://techcommunity.microsoft.com/t5/security-compliance-and-identity/sam-name-impersonation/ba-p/3042699
    • https://github.com/microsoft/Microsoft-365-Defender-Hunting-Queries/blob/master/Privilege%20escalation/SAM-Name-Changes-CVE-2021-
    42278.md
    • https://www.securityweek.com/microsoft-urges-customers-patch-recent-active-directory-vulnerabilities
    • https://www.hackplayers.com/2021/12/explotacion-cve-2021-42278-y-42287.html
    • https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-42287
    • https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-42278
    • https://nvd.nist.gov/vuln/detail/CVE-2021-42287
    • https://nvd.nist.gov/vuln/detail/CVE-2021-42278

    7
    https://github.com/microsoft/Microsoft-365-Defender-Hunting-Queries/blob/master/Privilege%20escalation/SAM-Name-Changes-CVE-2021-
    42278.md
    4 de 4

    TLP:GREEN

    También podría gustarte