Microsoft exhorte ses clients à corriger immédiatement deux bugs du contrôleur de domaine Active Directory après la publication de la preuve de concept (PoC). Les bugs donnent aux attaquants un accès direct aux privilèges d'administrateur ce qui mène à la prise de contrôle du domaine

Les vulnérabilités en questions identifiés comme CVE-2021-42287 et CVE-2021-42278, qui ont tous deux été corrigés dans la version du Patch Tuesday de novembre 2021, sont décrites comme des bugs d'"escalade de privilèges du service de domaine Windows Active Directory" et sont d'une gravité élevée, avec un score de criticité CVSS de 7,5 sur 10.

"En combinant ces deux vulnérabilités, un attaquant peut créer un chemin direct vers un utilisateur administrateur du domaine dans un environnement Active Directory qui n'a pas appliqué ces nouvelles mises à jour", selon l'alerte de sécurité. "Cette attaque par escalade permet aux attaquants d'élever facilement leurs privilèges à ceux d'un administrateur de domaine une fois qu'ils ont compromis un utilisateur ordinaire du domaine."

L'équipe de recherche de Microsoft a publié des conseils détaillés sur la détection des signes d'exploitation et l'identification des serveurs compromis avec une requête avancée de Defender for Identity qui snif les changements anormaux de nom de périphérique : des changements qui " devraient se produire rarement pour commencer ", a-t-elle déclaré.

La requête compare ces changements de nom avec une liste de contrôleurs de domaine dans un environnement, ont déclaré les chercheurs. "Pour vérifier si ces vulnérabilités ont pu être exploitées dans votre environnement avant le déploiement des correctifs, nous vous recommandons vivement de suivre le guide étape par étape", a recommandé Microsoft en fournissant ces instructions :

· La modification de sAMAccountName est basée sur l'événement 4662. Veillez l'activer sur le contrôleur de domaine afin de détecter de telles activités ;

· Ouvrez Microsoft 365 Defender et naviguez jusqu'à Advanced Hunting ;

· Copiez la requête suivante (qui est également disponible dans la requête Advanced Hunting de Microsoft 365 Defender GitHub) :

IdentityDirectoryEvents | where Timestamp > ago(1d) | where ActionType == "SAM Account Name changed" | extend FROMSAM = parse_json(AdditionalFields)['FROM SAM Account Name'] | extend TOSAM = parse_json(AdditionalFields)['TO SAM Account Name'] | where (FROMSAM has "$" and TOSAM ! has "$") ou TOSAM in ("DC1", "DC2", "DC3", "DC4") // Noms des DC dans l'org | project Timestamp, Application, ActionType, TargetDeviceName, FROMSAM, TOSAM, ReportId, AdditionalFields

· Remplacez la zone marquée par la convention de dénomination de vos contrôleurs de domaine ;

· Exécutez la requête et analysez les résultats qui contiennent les dispositifs affectés. Vous pouvez utiliser l'événement Windows 4741 pour trouver le créateur de ces machines, si elles ont été nouvellement créées ;

· Assurez-vous de mettre à jour les périphériques avec les KB suivantes : KB5008102, KB5008380, KB5008602.