Privilege Escalation i Active Directory i tidligere varslet CVE

Netsecurity 12. des 2021


Undervurderte sårbarheter ved Microsoft Active Directory utnyttes nå med exploit tilgjengelig og distribuert. Sårbarhetene det dreier seg om er CVE-2021-42287 og CVE-2021-42278

Sårbarheten gir elevert brukertilgang til Domain Admin status, Netsecurity har bekreftet sårbarheten på patchede systemer. De opprinnelige CVE'ene fikk 7.5 i vurdering, men bassert på nye oppdagelser vil Netsecurity anbefale ny revurdering og at alle gjør nye vurdering av sine systemer. Microsoft har i etterkant sluppet ny patch, som vi registrerer at flere ikke har fått med seg/oppgradert til.

ad_PAC_poc

Exploit Writeups:

Netsecurity sitt RedTeam har testet og verifisert i LAB at sårbarhet fungerer på tidligere patched Active Directory tjenere. 

Tiltak:

Microsoft slapp senere en ny oppdatering som vil forhindre PAC sårbarheten, dette med patch KB5008602 eller KB5008380.

Det anbefales også å herde registry på eksisterende AD med å lage et nytt registry felt eller endre på: 

  • SubKey: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
  • Data type: REG_DWORD
  • Value: PacRequestorEnforcement
  • Data: 2 (standard er 1)