یک ابزار اثبات مفهوم اعلام کرد دو باگ اکتیو دایرکتوری ویندوز که ظاهرا دو ماه پیش برطرف شده بودند، اگر بهصورت زنجیرهای استفاده شوند بهسادگی اجازه تسلط به دامین ویندوز را می دهند.
در یک اعلان رسمی مایکروسافت از سازمانها خواست که هرچه سریع تر با نصب پچ امنیتی منتشرشده یک جفت آسیبپذیری به نام های ۴۲۲۸۷-۲۰۲۱CVE-و ۴۲۲۸۷-۲۰۲۱CVE- را برطرف نمایند.
هردوی این آسیبپذیریها بهعنوان با شدت بالا (۷٫۵ از ۱۰CVSS) معرفی شدند.
مایکروسافت اعلام کرد همانگونه همیشه میگوییم در اسرع وقت آخرین پچ دامین کنترلر را نصب نمایید.
این آسیبپذیری به مهاجمان امکان میدهد تا بر مدیریت دامین نسخههای فاقد پچ ویندوز بهسادگی دسترسی پیدا کنند.
مدیر دامین در ویندوز کاربرانی هستند که میتوانند تنظیمات اکتیو دایرکتوری و محتوای درونی این بخش را تغییر دهند مدیر دامین میتواند کاربر تازه تعریف نموده و یا برای دسترسی کاربران قدیمی محدودیت ایجاد نموده و روی مجوزها و احراز هویت ویندوز کنترل داشته باشد.
با ترکیب این دو آسیبپذیری مهاجم میتواند مسیر مستقیمی به دامین ادمین ایجاد بهسادگی بهمحض اینکه یک کاربر بر روی دامین حضور پیدا کند بر ادمین تسلط پیدا نماید.
در دسامبر یک ابزار اثبات مفهوم PoC، این آسیبپذیری را بهطور عمومی در شبکههای اجتماعی منتشر نمود. یک هفته بعد از انتشارِپچ، چند نفر از محققین امنیت تأیید کردند این آسیبپذیری وجود داشته و نفوذ از طریق آن نیز بسیار ساده است.
مایکروسافت از این اکسپلویت بهعنوان جعل هویت Same Account Name یاد میکند. یک نام ورود به سیستم که برای پشتیبانی از کلاینتها و سرورهای نسخههای قبلی ویندوز، مانند Windows NT 4.0، Windows 95، Windows 98 و LAN Manager استفاده میشود.
تیم تحقیقاتی مایکروسافت یک راهنمای دقیق برای آگاهی از نشانههای بهرهبرداری و شناسایی سرورهای در معرض خطر که دارای سامانههای امنیتی با قابلیت ردیابی تغییر نام های غیرعادی هستند منتشر نمود.
تغییر نام ها بسیار بهندرت آنهم با اعلام به سامانههای امنیتی اتفاق میافتند این سیستمهای امنیتی مانند EDR کسپرسکی ابزار امنیتی مبتنی بر سرویس ابری هستند که وظیفه آنها شناسایی تشخیص و ردیابی تهدیدات ردهبالا است.
یک متخصص امنیت دراینباره گفته است اگر نسبت به بهرهبرداری از این حفره امنیتی در سیستم خود شک دارید حتماً راهنمای گامبهگام منتشرشده توسط مایکروسافت را مطالعه نمایید.
برای جلوگیری ازاینگونه حملات مرتبط با جعل هویت رعایت موارد زیر ضروری است:
مایکروسافت ۳۶۵ را بازنموده و روی شکار پیشرفته کلیک نموده و مقادیر زیر را کپی نموده و با دامین کنترل موجود جابهجا نمایید.
IdentityDirectoryEvents | where Timestamp > ago(1d) | where ActionType == “SAM Account Name changed” | extend FROMSAM parse_json(AdditionalFields)[‘FROM SAM Account Name’] | extend TOSAM = parse_json(AdditionalFields)[‘TO SAM Account Name’] | where (FROMSAM has “$” and TOSAM!has “$”) or TOSAM in (“DC1”, “DC2”, “DC3”, “DC4”) // DC Names in the org | project Timestamp, Application, ActionType, TargetDeviceName, FROMSAM, TOSAM, ReportId, AdditionalFields
این query را اجرا کنید و نتایجی را که شامل دستگاههای آسیبدیده است تجزیهوتحلیل کنید. میتوانید از Windows Event 4741 برای پیدا کردن سازنده این ماشینها، درصورتیکه بهتازگی ساختهشدهاند، استفاده کنید.
مطمئن شوید که دستگاهها را با KB های زیر بهروز کنید
: KB5008102، KB5008380، KB5008602.
مایکروسافت گفت: «تیم تحقیقاتی ما به تلاش خود برای ایجاد راههای بیشتر برای شناسایی این آسیبپذیریها، چه از طریق پرسوجو و یا همکاریهای خارجی ، ادامه میدهد».