CVE-2021-36942

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Windows Local Security Authority (LSA) contains a spoofing vulnerability allowing an unauthenticated attacker to call a method on the LSARPC interface and coerce the domain controller to authenticate against another server using NTLM.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2021-36942) в подсистеме Local Security Authority (LSA) позволяет неаутентифицированному злоумышленнику: * Вызвать определенный метод в интерфейсе LSARPC. * Принудить контроллер домена (DC) инициировать аутентификацию по протоколу NTLM на сервер, указанный атакующим. * Это может быть использовано для атак типа "relay" (NTLM Relay), когда учетные данные, переданные контроллером домена, перехватываются и используются для получения несанкционированного доступа к другим системам в сети.

Как исправить

Установите официальное обновление безопасности от Microsoft для вашей версии Windows.

  1. Определите версию ОС: Откройте командную строку и выполните: bash winver

  2. Установите соответствующее обновление (KB):

    • Windows Server 2022: KB5005033 (10 августа 2021 г.) или более позднее накопительное обновление.
    • Windows Server 2019: KB5005030 (10 августа 2021 г.) или более позднее накопительное обновление.
    • Windows Server 2016: KB5005043 (10 августа 2021 г.) или более позднее накопительное обновление.
    • Windows 10 (версии 2004, 20H2, 21H1): KB5005033 (10 августа 2021 г.) или более позднее накопительное обновление.

    Способ установки (на примере PowerShell от имени администратора): ```bash

    Проверьте доступные обновления

    Get-WindowsUpdate

    Или установите вручную, загрузив пакет с сайта Microsoft Catalog

    wusa.exe C:\Path\To\Update.msu /quiet /norestart

    ``` Важно: После установки перезагрузите сервер.

Временное решение

Если немедленная установка патча невозможна, ограничьте возможность атаки:

  1. Ограничьте исходящий NTLM-трафик с контроллеров домена:

    • Используйте брандмауэр на контроллерах домена, чтобы заблокировать исходящие соединения по протоколу SMB (TCP 445) и другим потенциальным целевым портам (например, 135, 139) на все адреса, кроме доверенных серверов (других DC, файловых серверов).
    • Пример правила Windows Firewall (PowerShell от администратора): bash # Блокировать исходящий SMB (TCP 445) на все адреса, кроме доверенной подсети 10.0.1.0/24 New-NetFirewallRule -DisplayName "Block Outbound SMB except trusted" -Direction Outbound -Protocol TCP -RemotePort 445 -RemoteAddress "10.0.1.0/24" -Action Block -Enabled True

  2. Включите расширенную защиту для NTLM (EPA) и подписывание (SMB Signing):

    • Убедитесь, что политика "Сетевая безопасность: ограничить NTLM: исходящий трафик NTLM" настроена на Разрешить все или Запретить все учетные данные домена. Это настраивается через Групповую политику (gpedit.msc).
    • Включите подписывание SMB (SMB Signing) для всех серверов. В Групповой политике: Конфигурация компьютера -> Политики -> Административные шаблоны -> Сеть -> Microsoft SMB Server -> включите "Требовать подписывание цифровой подписью".

  3. Используйте протокол Kerberos вместо NTLM:

    • Настройте групповые политики для отключения NTLM там, где это возможно, и принудительного использования Kerberos.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей