CVE-2021-42278/CVE-2021-42287 - Microsoft Active Directory Schwachstelle

Beschreibung:

Durch die Kombination von 2 Sicherheitslücken in Microsofts Active Directory, welche seit dem November Update behoben sind, können Angreifer, mit einem AD User, Domain-Administrator-Rechte erlangen. Ein entsprechender Proof-of-Concept ist seit kurzem im Internet verfügbar und nutzt die Standardeinstellungen vom AD aus, in der ein Benutzer bis zu 10 Computerkonten verwalten kann. Als Besitzer kann dieser den sAMAccountName modifizieren und diesen beliebig ändern. Da bei der Namensänderung nicht geprüft wird ob der Kontoname ein $ Zeichen am Ende enthält (Konten mit $ Zeichen am Ende sind Computerkonten) kann der Angreifer seinem Computerkonto den gleichen Namen geben wie das Computerkonto des Domaincontrollers (z.B.: AD01$), jedoch ohne $ Zeichen am Ende (z.B.: AD01). Anschließend kann sich der Angreifer mit entsprechenden Kerberos Abfragen die Rechte vom Domain-Admin holen.

Betroffene Systeme:

Alle Windows Domain Controller ohne dem November Update

Behobene Versionen:

Microsoft Updates von November 2021

Empfohlene Maßnahmen:

Die November Updates von Microsoft installieren. Siehe dazu: https://support.microsoft.com/en-us/topic/kb5008380-authentication-updates-cve-2021-42287-9dafac11-e0d0-4cb8-959a-143bd0201041 

Einschätzung der Bedrohung:

Bisher ist uns noch nicht bekannt dass die Schwachstelle bereits aktiv ausgenutzt wird, dies kann sich jedoch aufgrund des verfügbaren PoC Codes jederzeit ändern.

Weiterführende Links:

https://techcommunity.microsoft.com/t5/security-compliance-and-identity/sam-name-impersonation/ba-p/3042699  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42287  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42278  https://support.microsoft.com/en-us/topic/kb5008380-authentication-updates-cve-2021-42287-9dafac11-e0d0-4cb8-959a-143bd0201041