Żądny wiedzy? Wbijaj na Mega Sekurak Hacking Party w maju! -30% z kodem: majearly
Każdy zalogowany użytkownik może być adminem domeny w Windows. Sprawdźcie czy macie łatkę.
Ostatnio log4shell przyćmiewa inne problemy bezpieczeństwa. Tymczasem w listopadzie Microsoft załatał dwie interesujące podatności: CVE-2021-42278 / CVE-2021-42287 (Active Directory Domain Services Elevation of Privilege Vulnerability)
Jak można zobaczyć na ~animacji tutaj, każdy zalogowany do domeny użytkownik może zostać w prosty sposób …administratorem domeny:
Wprawdzie w opisie błędu Microsoft napisał Exploitation Less Likely oraz Attack Complexity: High,
jednak pokazały się gotowe PoC-e / Exploity – więc spodziewamy się raczej zmiany narracji na Exploitation More Likely oraz Attack Complexity: Low.
Jak wiadomo, nigdy nie ma dobrego czasu na aktualizację kontrolerów domeny, ale tym razem nie zwlekajcie zbyt długo…
~Michał Sajdak
Patch Tuesday September 2021 posypał nam autoryzacje na PaloAlto i z innymi lokalnymi usługami. na M$ pisali, że „tak, zablokowaliśmy, ale odblokujemy to w Q1 2022”. Błąd dotyczy RPC_C_AUTHN_LEVEL_PKT_INTEGRITY.
Nie zawsze jest dobry moment na aktualizację ;)
Nie ma żadnego problemu z przeprowadzeniem aktualizacji DC, jeśli się posiada co najmniej 2 kontrolery w domenie :)
niby tak, ale ten tego… działa? nie ruszać (dużo adminów wyznaje taką zasadę)
Z tego co rozumiem (https://github.com/WazeHell/sam-the-admin), to jest tylko „lokalne”? Czyli trzeba być zalogowanym do kontrolera domeny jako nieuprzywilejowany użytkownik?
„Jak wiadomo, nigdy nie ma dobrego czasu na aktualizację kontrolerów domeny, ale tym razem nie zwlekajcie zbyt długo…” akurat przez redundancję i automatyczne przejmowanie ról, kontrolery domeny aktualizuje się bardzo łatwo bez przerw w pracy czegokolwiek.
Cześć,
Aktualizacja ta łata i zarazem powoduje problemy. Warto o tym wspomnieć w artykule.
https://dirteam.com/sander/2021/11/16/you-may-encounter-authentication-issues-after-installing-the-november-2021-cumulative-updates/
Wypuścili fixa pare dni później (jako Out-of-band)
Zawsze jest dobry moment na aktualizację kontrolera domeny!
plus
https://support.microsoft.com/en-gb/topic/kb5008380-authentication-updates-cve-2021-42287-9dafac11-e0d0-4cb8-959a-143bd0201041
Pierwszą rzecza jaką sie według mnie robi po postawieniu Active Directory jest odebranie użytkownikom uprawnień do dowania komputerów do domeny. Zatem o ile dobrze to rozumiem w profesjonalnie postawionym środowisku tek exploit nie zadziała.