Jak sprawdzić czy mój Windows jest zainfekowany? Podstawy analizy powłamaniowej. Nie przegap bezpłatnego szkolenia od sekuraka.

Każdy zalogowany użytkownik może być adminem domeny w Windows. Sprawdźcie czy macie łatkę.

14 grudnia 2021, 10:44 | W biegu | komentarzy 10

Ostatnio log4shell przyćmiewa inne problemy bezpieczeństwa. Tymczasem w listopadzie Microsoft załatał dwie interesujące podatności: CVE-2021-42278 / CVE-2021-42287 (Active Directory Domain Services Elevation of Privilege Vulnerability)

Jak można zobaczyć na ~animacji tutaj, każdy zalogowany do domeny użytkownik może zostać w prosty sposób …administratorem domeny:

Wprawdzie w opisie błędu Microsoft napisał Exploitation Less Likely oraz Attack Complexity: High,
jednak pokazały się gotowe PoC-e / Exploity – więc spodziewamy się raczej zmiany narracji na Exploitation More Likely oraz Attack Complexity: Low.

Jak wiadomo, nigdy nie ma dobrego czasu na aktualizację kontrolerów domeny, ale tym razem nie zwlekajcie zbyt długo…

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Przemek

    Patch Tuesday September 2021 posypał nam autoryzacje na PaloAlto i z innymi lokalnymi usługami. na M$ pisali, że „tak, zablokowaliśmy, ale odblokujemy to w Q1 2022”. Błąd dotyczy RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.

    Nie zawsze jest dobry moment na aktualizację ;)

    Odpowiedz
  2. Marcin

    Nie ma żadnego problemu z przeprowadzeniem aktualizacji DC, jeśli się posiada co najmniej 2 kontrolery w domenie :)

    Odpowiedz
    • niby tak, ale ten tego… działa? nie ruszać (dużo adminów wyznaje taką zasadę)

      Odpowiedz
  3. chester
    Odpowiedz
  4. Robert

    „Jak wiadomo, nigdy nie ma dobrego czasu na aktualizację kontrolerów domeny, ale tym razem nie zwlekajcie zbyt długo…” akurat przez redundancję i automatyczne przejmowanie ról, kontrolery domeny aktualizuje się bardzo łatwo bez przerw w pracy czegokolwiek.

    Odpowiedz
  5. Irek
    Odpowiedz
    • P

      Wypuścili fixa pare dni później (jako Out-of-band)

      Odpowiedz
  6. wk

    Zawsze jest dobry moment na aktualizację kontrolera domeny!

    Odpowiedz
  7. ZH

    Pierwszą rzecza jaką sie według mnie robi po postawieniu Active Directory jest odebranie użytkownikom uprawnień do dowania komputerów do domeny. Zatem o ile dobrze to rozumiem w profesjonalnie postawionym środowisku tek exploit nie zadziała.

    Odpowiedz

Odpowiedz