微软:这两个活动目录漏洞可使攻击者轻易接管 Windows 域名
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
今天,微软提醒客户修复两个活动目录 (Active Directory) 域名服务提权漏洞(CVE-2021-42287和CVE-2021-42278)。攻击者可结合利用这两个漏洞轻易接管 Windows 域名。
这两个漏洞是由 Catalyst IT 公司的研究员 Andrew Bartlett 发现并报告的,安全更新已在2021年11月补丁星期二中发布。
由于这两个漏洞的 PoC 工具已出现在网络,因此微软提醒客户立即修复这两个可导致攻击者假冒域名控制器的漏洞。
微软在今天发布的安全公告中解释称,“攻击者能够组合利用这两个漏洞,在未应用这些更新的活动目录环境中创建域名管理员用户的直接路径。和以往一样,我们强烈建议尽快在域名控制器上部署最新补丁。”
微软督促Windows 管理员按照微软发布的知识库文章 KB5008102、KB5008380和KB5008602 修复这两个漏洞。
研究人员测试称可轻松通过遭公开的 PoC 工具,在默认配置下从标准的活动目录用户提权至域名管理员。
如何检测利用和攻陷迹象
微软还分享了如何检测用户环境中利用迹象并使用 Defender for Identity高阶查询找到异常设备名称变更以识别潜在受陷服务器的详细指南。
指南要求防御人员:
1、sAMAccountName 变更基于事件4662,需确保在域名控制器上已启用才能捕获到这类活动。
2、打开 Microsoft 365 Defender 并导航至 Advanced Hunting。
3、复制如下查询(也可在 Microsoft 365 Defender GitHub Advanced Hunting 查询中找到):
IdentityDirectoryEvents
| where Timestamp > ago(1d)
| where ActionType == "SAM Account Name changed"
| extend FROMSAM = parse_json(AdditionalFields)['FROM SAM Account Name']
| extend TOSAM = parse_json(AdditionalFields)['TO SAM Account Name']
| where (FROMSAM has "$" and TOSAM !has "$")or TOSAM in ("DC1", "DC2", "DC3", "DC4") // DC Names in the org
| project Timestamp, Application, ActionType, TargetDeviceName, FROMSAM, TOSAM, ReportId, AdditionalFields
4、通过域名控制器的命名约定取代标记区域。
5、运行该查询并分析包含受影响设备的结果。用户可使用 Windows Event 4741 找到这些机器的创始人查询机器是否为新建。
6、建议调查受陷计算机并判断这些设备未被武器化。
微软表示,“研究团队继续致力于通过查询或其它检测,创建更多检测这些漏洞的方法。”
推荐阅读
或许你不该痴情于 NetWare:微软的活动目录软件可遭绕过
QakBot银行木马导致大量活动目录用户被锁
微软12月补丁星期二值得关注的6个0day及其它
黑客利用微软 MSHTML漏洞窃取谷歌和Instagram 凭据
原文链接
https://www.bleepingcomputer.com/news/microsoft/microsoft-warns-of-easy-windows-domain-takeover-via-active-directory-bugs/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
微软:这两个活动目录漏洞可使攻击者轻易接管 Windows 域名相关推荐
- 惠普企业警告:Sudo 漏洞可使攻击者获得 Aruba 平台的 root 权限
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 惠普企业 (HPE) 警告称,其 Aruba AirWave 管理平台中使用的开源程序 Sudo 中存在一个高危漏洞 (CVE-2021-315 ...
- 奇安信代码安全实验室帮助微软修复两个“重要”漏洞,获官方致谢
聚焦源代码安全,网罗国内外最新资讯! 奇安信代码安全实验室研究员为微软发现两个"重要"级别的漏洞(CVE-2020-16920和CVE-2020-16921),第一时间向微软报告并 ...
- Windows活动目录系列---活动目录版本迁移概述
在实施AD域部署的过程中,你可能因为以下的两个原因想要重新构建你的AD环境: 优化AD域的逻辑结构.在一些组织中,从AD域部署时期到现如今,整个商业模式可能发生了很明显的变化,导致目前的AD域或者林结 ...
- 第十四章:监测和维护活动目录(一)(译自WindowsServer2008ActiveDirectoryResourceKit)
前言: windows server 2008系统相信大家也都接触了有段时间了,尤其最近打上了sp2补丁以后变得更加成熟和完善. 不知道大家的企业有没有已经开始使用windows server 200 ...
- windows server 2016 活动目录部署系列(七)活动目录的授权还原
一.问题描述 如果域中存在多个域控制器,但每个域拥有的活动目录( Active Directory) 内容不相同,此时应该以哪个域控制器的活动目内容为准? 出现该问题的情形如:假如一个域控下存在多个域 ...
- 深入理解域之AD活动目录企业应用及案例分享
QUOTE: 深入理解域之AD活动目录企业应用及案例分享 无论集中还是分散,目录服务触及企业的每个角落,而且常常超越企业延伸到商业伙伴和客户.AD是一个企业目录系统,可以自动进行用户数据,安全和分布的 ...
- 活动目录(Active Directory)
Active Directory和活动目录是同义词,已合并. 活动目录 百科名片 活动目录(Active Directory)是面向Windows Standard Server.Windows En ...
- 域渗透基础知识(二)之活动目录 Active Directory 的查询
目录 Active Directory Active Directory 的查询基础语法 什么是BaseDN 什么是Naming Context 什么是LDAP(轻量级目录访问协议) 过滤规则 LDA ...
- 基于Windows Server 2003的活动目录集成方案
目录 基于Windows Server 2003的活动目录集成方案 前言 一.企业IT环境的管理需求 二.方案设计 1.用户管理 2.资源管理 3.应用授权管理 三.企业活动目录实施的步骤: 1.服务 ...
最新文章
- 2022-2028年中国硅酸钙板行业市场研究及前瞻分析报告
- jQuery 操作 DOM
- shell脚本自动备份MySQL数据库
- java xstream jar_Java库使用----xstream1.3.1
- leetcode —— 区间加法
- springboot实现快速整合mybatis+mysql
- 记录学习算法心得(时间复杂度和空间复杂度)
- 华为交换机初始化_华为交换机如可恢复出厂设置
- 如何在Ubuntu18.4中设置ERPNEXT开源ERP生产环境开机运行
- win10设置中账户点开闪退问题
- jQuery-放大镜
- JPEG文件格式分析及举例验证
- vue axios实战,请求天气预报接口
- 获取第二天凌晨12点时间
- 一些CSS兼容性处理写法汇总。
- C语言中的%f和%lf的区别
- 数据库增量备份 - DB INCR DB FULL
- 只能原地动的小鲤鱼/(ㄒoㄒ)/~~
- IBM OMNIBUS INSTALL
- 2021-02-03-ctf-如来十三掌
热门文章
- OSI七层网络结构图与TCP/IP五层网络结构图
- 解决苹果手机返回不刷新问题
- 2.6.29的一个节省内存的补丁
- (转)IDE 而言,是 Xcode 的技术比较先进还是 Visual Studio?
- python 基础 信息量很大很好,适合复习
- php学习_第8章_PHP面向对象的程序设计
- 见证激情燃烧的汤姆·彼得斯(Tom Peters)
- 华为手机如何升级鸿蒙系统_华为鸿蒙2.0带来好消息 2021年部分华为手机能升级到鸿蒙2.0...
- 什么是抽象类?抽象类的作用_Java面试题amp;和amp;amp;的作用和区别
- Android开发学习之卡片式布局的简单实现