CVE-2021-42278
Microsoft Active Directory
2022-04-11
Microsoft Active Directory Domain Services contains an unspecified vulnerability that allows for privilege escalation.
Технический анализ и план устранения
Анализ
Уязвимость CVE-2021-42278 представляет собой риск повышения привилегий в Microsoft Active Directory Domain Services. Атакующий может использовать эту уязвимость для получения повышенных привилегий в домене, что потенциально может привести к полному контролю над инфраструктурой Active Directory. Вектор атаки предполагает эксплуатацию неуказанной уязвимости в Domain Services, что позволяет злоумышленнику повысить свои привилегии без необходимости иметь изначально высокие привилегии.
Устранение
Для устранения уязвимости CVE-2021-42278 необходимо установить последние обновления безопасности для Microsoft Active Directory Domain Services. Конкретные шаги для обновления зависят от версии операционной системы и текущего уровня обновления системы: - Для Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 и Windows Server 2022 необходимо установить последние накопительные обновления безопасности, которые включают патчи для уязвимости CVE-2021-42278. - Для ручного обновления можно использовать команду:
wuauclt /updatenow
или использовать Центр обновления Windows для поиска и установки доступных обновлений.
Временные меры
Если установка патча невозможна из-за технических или организационных ограничений, можно рассмотреть временные меры для снижения риска эксплуатации уязвимости: - Настройка брандмауэра Windows для ограничения доступа к службам Active Directory только для доверенных источников. - Реализация правил в веб-приложении (WAF) для фильтрации подозрительного трафика, направленного на службы Active Directory. - Отключение или ограничение функций, которые могут быть связаны с уязвимостью, если это возможно без нарушения работоспособности инфраструктуры Active Directory. - Усиление мониторинга безопасности для своевременного обнаружения потенциальных попыток эксплуатации уязвимости. Пример команды для включения брандмауэра Windows и настройки правил:
netsh advfirewall set allprofiles state on
netsh advfirewall firewall add rule name="Active Directory Services" dir=in action=allow protocol=TCP localport=88,389,445
Обратите внимание, что эти временные меры не заменяют полное устранение уязвимости с помощью официальных патчей и должны быть рассмотрены только как временное решение до момента, когда станет возможным установить необходимые обновления безопасности.