Microsoft ha emesso un avviso di sicurezza in merito a due vulnerabilità riguardanti l’escalation dei privilegi (CVE-2021-42287 e CVE-2021-42278) in Active Directory, il cui sfruttamento può consentire agli aggressori di assumere facilmente il controllo dei domini Windows.
Entrambe le vulnerabilità sono state già fixate in occasione del Patch Tuesday di novembre 2021: l’avvertimento del gigante della tecnologia è arrivato dopo che dall’11 dicembre è stato pubblicato il codice di un PoC (Proof of Concept) per lo sfruttamento di queste vulnerabilità, su Twitter e su GitHub.
Indice degli argomenti
I dettagli delle vulnerabilità in Active Directory
L’attacco consente agli aggressori, compromettendo un utente normale del dominio, di aumentare facilmente i propri privilegi al livello di amministratore.
Si consiglia vivamente agli amministratori di sistema di aggiornare tutti i controller di dominio seguendo le istruzioni e le informazioni disponibili nei seguenti articoli della Knowledge Base ufficiale: KB5008102, KB5008380 e KB5008602.
Microsoft ha inoltre condiviso indicazioni dettagliate su come rilevare i segni di sfruttamento nell’ambiente e identificare i server potenzialmente compromessi usando la query avanzata di Defender for Identity che cerca modifiche anomale del nome del dispositivo.
In particolare, si consiglia di seguire questi punti.
- la modifica di sAMAccountName si basa sull’evento 4662. È necessario assicurarsi che sia abilitato nel controller di dominio per tenere traccia di eventuali comportamenti anomali;
- aprire Microsoft 365 Defender e andare su Advanced Hunting;
- copiare la seguente query: IdentityDirectoryEvents | where Timestamp > ago(1d) | where ActionType == “SAM Account Name changed” | extend FROMSAM = parse_json(AdditionalFields)[‘FR OM SAM Account Name’] | extend TOSAM = parse_json(AdditionalFields)[‘TO SAM Account Name’] | wh ere (FROMSAM has “$” and TOSAM !has “$”) or TOSAM in (“DC1”, “DC2”, “DC3”, “DC4”) // DC Names in the org | project Timestamp, Application, ActionType, TargetDeviceName, FROMSAM, TOSAM, ReportId, AdditionalFields;
- sostituire il nome del controller di dominio con i propri dati;
- eseguire la query e analizzare i risultati che contengono i dispositivi interessati. È possibile utilizzare l’evento 4741 di Windows per trovare l’autore di queste macchine se sono di recente creazione;
- indagare sui computer compromessi e assicurarsi che non siano stati sfruttati per scopi malevoli.
Cosa ci insegna lo sfruttamento di queste vulnerabilità
L’evidenza che Microsoft vuole portare all’attenzione degli utenti non è tanto per le vulnerabilità in sé, già dibattute come abbiamo visto a novembre scorso, quanto per l’importanza di applicare le patch di sicurezza appena vengono rese disponibili.
Si tratta di una vera e propria esortazione massiva all’aggiornamento, spinta anche dall’apparizione del codice relativo all’exploit, che fa parlare nuovamente di queste due CVE in termini di tempestiva urgenza.
Proprio mentre il mondo dei sistemisti e amministratori di sistema è completamente assorbito, ormai da due settimane, dall’ondata provocata dalle vulnerabilità identificate nella libreria Log4j, da Redmond ci ricordano che non possiamo abbandonare tutto il resto del lavoro di controllo sui nostri sistemi infrastrutturali.
Anche perché è notizia delle ultime ore l’indagine secondo la quale plurime applicazioni di Intel, Nvidia e Microsoft (come Azure Spring Cloud e Azure DevOps) contengano l’ormai tristemente famosa vulnerabilità, ma tutte hanno già i relativi fix disponibili per l’aggiornamento.
Per chi gestisce (tra le altre cose) un dominio Active Directory, questi sono due possibili scenari di attacco molto severi: considerando che AD gestisce l’autenticazione e il grado di autorizzazione degli utenti all’interno di un controller, lo sfruttamento combinato di questi difetti consentirebbe agli attori delle minacce di creare un percorso diretto verso un amministratore di dominio non autorizzato sulla macchina (ricordiamo che Active Directory ha avuto un ruolo importante nell’imponente attacco a SolarWinds).
E le conseguenze, come è facile intuire, potrebbero essere davvero disastrose.
