Active Directory任意域用戶可獲得域管理權(quán)限極易引發(fā)勒索事件

安全 PRO 稿源：中安網(wǎng)星 2021-12-12 18:25

2021年12月12日，中安網(wǎng)星身份安全研究中心監(jiān)測(cè)到GitHub上公開了CVE-2021-42287/CVE-2021-42278 權(quán)限提升漏洞POC。

Active Directory 是大部分企業(yè)內(nèi)部的核心身份基礎(chǔ)設(shè)施，負(fù)責(zé)大量系統(tǒng)的身份認(rèn)證與計(jì)算機(jī)管理。域內(nèi)管理權(quán)限涉及企業(yè)身份核心，一直以來都是企業(yè)內(nèi)網(wǎng)安全的重要關(guān)注內(nèi)容。

本次披露的CVE-2021-42287/CVE-2021-42278 權(quán)限提升漏洞可將域內(nèi)的任意用戶提升至域管權(quán)限，對(duì)企業(yè)身份認(rèn)證及相關(guān)數(shù)據(jù)資產(chǎn)造成了嚴(yán)重威脅。

中安網(wǎng)星身份安全平臺(tái)研究中心提醒 Active Directory 用戶：盡快采取安全措施，預(yù)防該漏洞攻擊。

目前，智域目錄安全平臺(tái)基于事前安全檢查、事中安全監(jiān)控、事后安全修復(fù)的整體AD安全防護(hù)解決方案，可有效阻止由該漏洞來的權(quán)限提升攻擊。

以下是有關(guān)該漏洞以及相關(guān)預(yù)防措施的詳細(xì)內(nèi)容。

1、漏洞風(fēng)險(xiǎn)等級(jí)評(píng)定

2、漏洞概述

在 AD 域中請(qǐng)求ST票證時(shí)，首先需要提供 TGT票據(jù)。當(dāng) KDC 未找到請(qǐng)求的ST票證時(shí)，KDC 會(huì)自動(dòng)再次搜索帶有$結(jié)尾的用戶。

漏洞原理：如果獲得了 DC 用戶的TGT票據(jù)且域內(nèi)有一臺(tái)名為DC$域控，再將DC用戶刪除，此時(shí)使用該 TGT去請(qǐng)求s4u2self,如果域控制器帳戶DC$存在，那么DC就能獲得域控制器帳戶(機(jī)器用戶DC$)的ST票證。

假如域內(nèi)有一臺(tái)域控名為 DC（域控對(duì)應(yīng)的機(jī)器用戶為 DC$），此時(shí)攻擊者利用漏洞 CVE-2021-42287 創(chuàng)建一個(gè)機(jī)器用戶ZAWX$，再把機(jī)器用戶ZAWX$的sAMAccountName改成DC。然后利用DC去申請(qǐng)一個(gè)TGT票據(jù)。再把DC的sAMAccountName改為ZAWX$。這個(gè)時(shí)候KDC就會(huì)判斷域內(nèi)沒有DC和這個(gè)用戶，自動(dòng)去搜索DC$（DC$是域內(nèi)已經(jīng)的域控DC的sAMAccountName），攻擊者利用剛剛申請(qǐng)的TGT進(jìn)行S4U2self，模擬域內(nèi)的域管去請(qǐng)求域控DC的ST票據(jù)，最終獲得域控制器DC的權(quán)限。

漏洞復(fù)現(xiàn)利用截圖：

中安網(wǎng)星智域目錄安全平臺(tái)已于2021年12月12日發(fā)布漏洞檢測(cè)規(guī)則與修復(fù)措施，已部署目錄安全平臺(tái)的客戶請(qǐng)盡快安排升級(jí)，未部署目錄安全平臺(tái)的企業(yè)請(qǐng)盡快采取相關(guān)安全措施阻止漏洞攻擊。

3、修復(fù)建議

1、安裝補(bǔ)丁KB5008602、KB5008380

2、通過域控的 ADSI 編輯器工具將 AD 域的MAQ配置為0，此做法將中斷此漏洞的利用鏈。