Fecha de publicación: 22/12/2021
Importancia:
Alta
Recursos afectados:
- Windows Server 2012 R2 (Server Core Installation);
- Windows Server 2012 R2;
- Windows Server 2012 (Server Core Installation);
- Windows Server 2012;
- Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation);
- Windows Server 2008 R2 for x64-based Systems Service Pack 1;
- Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation);
- Windows Server 2008 for x64-based Systems Service Pack 2;
- Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation);
- Windows Server 2008 for 32-bit Systems Service Pack 2;
- Windows Server 2016 (Server Core installation);
- Windows Server 2016;
- Windows Server, versión 20H2 (Server Core Installation);
- Windows Server, versión 2004 (Server Core installation);
- Windows Server 2022 (Server Core installation);
- Windows Server 2022;
- Windows Server 2019 (Server Core installation);
- Windows Server 2019.
Descripción:
Microsoft ha publicado un aviso fuera de ciclo de dos vulnerabilidades publicadas en noviembre y que, combinadas, podrían permitir a un atacante la escalada de privilegios de dominio. Las pruebas de concepto se han dado a conocer públicamente en diciembre.
Solución:
Microsoft y CERT-EU recomiendan parchear los servidores afectados para evitar cualquier compromiso. Además, es recomendable la comprobación de un posible compromiso anterior.
Microsoft ofrece una guía para buscar un posible compromiso mediante la ejecución de consultas de Threat Hunting en Microsoft 365 Defender:
- El cambio de sAMAccountName se basa en el evento 4662. Habilitarlo en el controlador de dominio para detectar estas actividades.
- Abrir Microsoft 365 Defender y navegar hasta Advanced Hunting.
- Copiar la siguiente consulta (también disponible en Microsoft 365 Defender GitHub Advanced Hunting query)
IdentityDirectoryEvents
| where Timestamp > ago(1d)
| where ActionType == "SAM Account Name changed"
| extend FROMSAM = parse_json(AdditionalFields)['FROM SAM Account Name']
| extend TOSAM = parse_json(AdditionalFields)['TO SAM Account Name']
| where (FROMSAM has "$" and TOSAM !has "$") or TOSAM in ("DC1", "DC2", "DC3", "DC4") // DC Names in the org
| project Timestamp, Application, ActionType, TargetDeviceName, FROMSAM, TOSAM, ReportId, AdditionalFields
- Sustituir el área marcada por la convención de nomenclatura de sus controladores de dominio.
- Ejecutar la consulta y analizar los resultados que contienen los dispositivos afectados. Puede utilizar Windows Event 4741 para encontrar el creador de estos equipos, si fueron creados recientemente.
- Investigar los ordenadores comprometidos para determinar si los atacantes han desarrollado y distribuido exploits para las vulnerabilidades.
Detalle:
La combinación de estas dos vulnerabilidades podría permitir a un atacante la escalada de privilegios de dominio:
- Active Directory (AD) utiliza varios esquemas de nomenclatura para un objeto determinado, como userPrincipalName (UPN) y sAMAccountName (SAM-Account), que suelen terminar con un ‘$’ en su nombre para distinguir entre ‘user objects’ y ‘computer objects’. No hay restricciones o validaciones para cambiar este atributo e incluir o no el carácter $, por lo que con la configuración por defecto, un usuario normal tiene permisos para modificar una cuenta de máquina (hasta 10 máquinas) y para editar su atributo sAMAccountName. Se ha asignado el identificador CVE-2021-42278.
- Cuando se realiza una autenticación mediante Kerberos, se solicita el Ticket-Granting-Ticket (TGT) y el Ticket-Granting-Service (TGS) desde el Centro de Distribución de Claves (KDC). En caso de que se solicite un TGS que no se haya podido encontrar, el KDC intentará buscarla de nuevo con un $ al final. Un atacante podría crear una cuenta de máquina, renombrar su nombre de cuenta SAM con el nombre de un Controlador de Dominio sin el $ final y solicitar un TGT. Luego, el atacante podría renombrar el nombre de la cuenta SAM con un nombre diferente, y solicitar un ticket TGS presentando el TGT válido para que, durante el proceso de solicitud, KDC emita un ticket utilizando los privilegios del Controlador de Dominio suplantado. Se ha asignado el identificador CVE-2021-42287 para esta vulnerabilidad.
Etiquetas:
Actualización, Microsoft, Vulnerabilidad, Windows
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.