Microsoft выпускает предупреждение по поводу повышения привилегий Active Directory

Хотя Microsoft регулярно выпускает обновления качества и безопасности для поддерживаемого программного обеспечения, очень важно применять их как можно скорее. Теперь компания выпустила предупреждение о некоторых уязвимостях, которые она уже исправила, но сейчас они используются в конфигурациях, которые еще не были обновлены.

Еще в ноябре Microsoft пометила две уязвимости как CVE-2021-42287 и CVE-2021-42278, описав их как «Уязвимость повышения привилегий доменной службы Windows Active Directory». Рассматриваемые проблемы позволяют злоумышленнику легко получить привилегии администратора домена в Active Directory после компрометации учетной записи обычного пользователя. Microsoft выпустила три исправления для немедленного развертывания на контроллерах домена, описание которых приведено ниже:

• KB5008102—Active Directory Security Accounts Manager hardening changes (CVE-2021-42278);
• KB5008380—Authentication updates (CVE-2021-42287);
• KB5008602 (OS Build 17763.2305) Out-of-band;

Хотя вышеупомянутые исправления были доступны в течение нескольких недель, проблема заключается в том, что 12 декабря был публично раскрыт инструмент proof-of-concept, использующий эти уязвимости. Злоумышленники могут использовать его для выполнения атак на повышение привилегий в Active Directory, нацелившись на непропатченные контроллеры домена.

В связи с этим Microsoft выпустила рекомендацию, в которой просит клиентов как можно скорее исправить соответствующие системы. В своем техническом посте в блоге компания также подробно рассказала о том, как обнаруживать индикаторы взлома, а также приложила несколько запросов Advanced Hunting. Вы можете узнать больше здесь.