抖圈为赌而生

首页 > 宁静研究 > 宁静通报 > 宁静通告

【漏洞通告】Windows Active Directory 域服务权限提升漏洞（CVE-2021-42278）

宣布时间 2021-12-21

0x00 漏洞概述

CVE ID	CVE-2021-42278	时间	2021-11-09
类型	权限提升	等级	高危
远程利用	是	影响范围
攻击庞大度	高	可用性	高
用户交互	无	所需权限	低
PoC/EXP	已果然	在野利用

0x01 漏洞详情

2021年12月20日，微软披露了Windows Active Directory 域服务权限提升漏洞（CVE-2021-42287和CVE-2021-42278）的漏洞细节，并警告客户及时修复这2个漏洞。当结合这2个漏洞时，攻击者可以在没有应用补丁的 Active Directory 环境中创建一个直接访问域管理员用户的路径，在攻击域中的普通用户后轻松将其权限提升为域管理员权限，最终接管Windows域。

这2个漏洞都是微软11月9日补丁日中修复的，CVSS评分均为7.5。其中CVE-2021-42278是一个宁静绕过漏洞，该漏洞允许攻击者使用计算机帐户sAMAccountName欺骗来冒充域控制器（SAM名称模拟）。CVE-2021-42287是影响Kerberos特权属性证书（PAC）的宁静绕过漏洞，允许攻击者冒充域控制器（KDC欺骗）。

12 月 11 日，这2个漏洞的细节和PoC/EXP已在互联网上果然。经过身份验证的远程攻击者可以结合这2个漏洞在默认配置的情况下将普通权限提升到域管理员权限。

影响范围

CVE-2021-42287、CVE-2021-42278：

Windows Server, version 20H2 (Server Core Installation)

Windows Server, version 2004 (Server Core installation)

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

0x02 处置建议

目前这些漏洞已在微软11月9日宣布的宁静更新中修复，建议启用Windows自动更新或手动下载安装补丁。

下载链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42278

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42287

此外，微软还分享了这2个漏洞的利用检测分步指南：

1.sAMAccountName 更改基于事件 4662，请确保在域控制器上启用它以捕捉此类活动。

2. 打开 Microsoft 365 Defender 并导航到Advanced Hunting。

3.复制以下查询（也可在 Microsoft 365 Defender GitHub高级狩猎查询中找到），查找异常设备名称更改：

IdentityDirectoryEvents

| where Timestamp > ago(1d)

| where ActionType == "SAM Account Name changed"

| extend FROMSAM = parse_json(AdditionalFields)['FROM SAM Account Name']

| extend TOSAM = parse_json(AdditionalFields)['TO SAM Account Name']

| where (FROMSAM has "$" and TOSAM !has "$")

or TOSAM in ("DC1", "DC2", "DC3", "DC4") // DC Names in the org

| project Timestamp, Application, ActionType, TargetDeviceName, FROMSAM, TOSAM, ReportId, AdditionalFields

4.用域控制器的命名约定替换标志区域

5.运行查询并分析包罗受影响设备的结果�？梢允褂肳indows 事件 4741查找这些计算机的创建者（如果它们是新创建的）。

6.建议视察这些被熏染的计算机并确定它们没有被武器化。

7.确保使用以下知识库文章中详述的步骤和信息更新遭受攻击的设备：KB5008102、KB5008380、KB5008602。

0x03 参考链接

https://techcommunity.microsoft.com/t5/security-compliance-and-identity/sam-name-impersonation/ba-p/3042699

https://twitter.com/safe_buffer/status/1469742616505954323

https://support.microsoft.com/en-us/topic/kb5008102-active-directory-security-accounts-manager-hardening-changes-cve-2021-42278-5975b463-4c95-45e1-831a-d120004e258e

https://www.bleepingcomputer.com/news/microsoft/microsoft-warns-of-easy-windows-domain-takeover-via-active-directory-bugs/

0x04 更新版本

版本	日期	修改内容
V1.0	2021-12-21	首次宣布

0x05 关于抖圈为赌而生

抖圈为赌而生简介

抖圈为赌而生公司建立于1996年，并于2010年6月23日在深交所中小板正式挂牌上市，是国内最具实力的信息宁静产物和宁静管理平台、宁静服务与解决方案的领航企业之一。

公司总部位于北京市中关村软件园，在全国各省、市、自治区设立分支机构六十多个，拥有笼罩全国的销售体系、渠道体系和技术支持体系；并在华北、华东、西南和华南结构四大研发中心，分别为北京研发总部、上海研发中心、成都研发中心和广州研发中心。

多年来，抖圈为赌而生致力于提供具有国际竞争力的自主创新的宁静产物和最佳实践服务，资助客户全面提升其IT基础设施的宁静性和生产效能，为打造和提升国际化的民族信息宁静工业领军品牌而不懈努力。

关于抖圈为赌而生

抖圈为赌而生宁静应急响应中心主要针对重要宁静漏洞的预警、跟踪和分享全球最新的威胁情报和宁静陈诉。

关注以下公众号，获取全球最新宁静资讯：

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 抖圈为赌而生版权所有京ICP备05032414号京公网安备11010802024551号