CVE-2021-42287

Суть уязвимости

Уязвимость (также известная как samAccountName spoofing) позволяет злоумышленнику с правами обычного пользователя домена создать компьютерный объект с именем, совпадающим с именем контроллера домена (DC), но без суффикса $. Затем, используя другую уязвимость (CVE-2021-42278), можно заставить домен аутентифицировать этот поддельный объект как контроллер домена, что в итоге приводит к получению билета Kerberos Ticket Granting Ticket (TGT) с правами администратора домена (Domain Admin).

Как исправить

Установите обновления безопасности от Microsoft, устраняющие обе уязвимости (CVE-2021-42287 и CVE-2021-42278) на всех контроллерах домена (DC).

• Для Windows Server 2012 R2: Установите обновление KB5008602 или более позднее из ежемесячного накопительного пакета обновлений.
• Для Windows Server 2016: Установите обновление KB5008602 или более позднее из ежемесячного накопительного пакета обновлений.
• Для Windows Server 2019: Установите обновление KB5008602 или более позднее из ежемесячного накопительного пакета обновлений.
• Для Windows Server 2022: Установите обновление KB5008602 или более позднее из ежемесячного накопительного пакета обновлений.

Порядок действий: 1. Проверьте текущие версии ОС на всех DC командой: powershell systeminfo | findstr /B /C:"OS Name" /C:"OS Version" 2. Установите указанные обновления через Центр обновления Windows или вручную. 3. Обязательно перезагрузите каждый контроллер домена после установки.

Временное решение

Если немедленная установка патчей невозможна, примените следующие меры для усложнения эксплуатации:

1. Аудит и мониторинг создания компьютерных объектов:

   • Включите аудит событий создания компьютерных объектов (событие 4741) и отслеживайте подозрительные имена, особенно совпадающие с именами DC без суффикса $.
   • Настройте оповещение в SIEM/SOC на событие 4741 с полем TargetAccountName, содержащим имя контроллера домена.

2. Ограничение прав на создание компьютерных объектов:

   • Пересмотрите групповые политики и права делегирования. По умолчанию аутентифицированные пользователи (Authenticated Users) могут присоединять до 10 компьютеров к домену. Ограничьте эту возможность только для доверенных групп или пользователей.
   • Проверьте членство в группах, таких как Domain Computers и Authenticated Users, на предмет нестандартных прав создания объектов в контейнере Computers.

3. Мониторинг Kerberos:

   • Включите детальный аудит событий входа Kerberos (события 4768, 4769) и отслеживайте запросы билетов (TGT) с нестандартными именами сервисов (sname), которые могут указывать на спуфинг.

Важно: Эти меры не устраняют уязвимость, а лишь повышают вероятность обнаружения атаки. Установка официальных патчей — обязательное и первоочередное действие.