Microsoft bugün müşterileri, birleştirildiklerinde saldırganların Windows etki alanlarını kolayca ele geçirmesine olanak tanıyan iki Active Directory etki alanı hizmeti ayrıcalığı yükseltme güvenlik açığını düzeltmeleri konusunda uyardı.
Şirket, iki güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı ( CVE-2021-42287 ve CVE-2021-42278 ve Catalyst IT’den Andrew Bartlett tarafından Kasım 2021 Yaması Salı günü bildirildi.
Redmond’un, her ikisi de saldırganların etki alanı denetleyicilerinin kimliğine bürünmesine izin veren iki hatayı hemen düzeltmeye yönelik uyarısı, bu güvenlik açıklarından yararlanabilen bir kavram kanıtı (PoC) aracının 11 Aralık’ta Twitter ve GitHub’da paylaşılmasından sonra geliyor.
Microsoft, bugün yayınlanan bir danışma belgesinde “Bu iki güvenlik açığı birleştirildiğinde, bir saldırgan bir Active Directory ortamında bu yeni güncellemeleri uygulamamış bir Etki Alanı Yöneticisi kullanıcısına giden basit bir yol oluşturabilir.”
“Bu yükseltme saldırısı, saldırganların, etki alanındaki normal bir kullanıcıyı tehlikeye attıktan sonra ayrıcalıklarını kolayca bir Etki Alanı Yöneticisininkine yükseltmelerine olanak tanır.
“Her zaman olduğu gibi, en son yamaları mümkün olan en kısa sürede etki alanı denetleyicilerine dağıtmanızı şiddetle tavsiye ediyoruz.”
Windows yöneticilerinden, aşağıdaki bilgi bankası makalelerinde ayrıntılı olarak açıklanan adımları ve bilgileri kullanarak saldırılara maruz kalan cihazları güncellemeleri önerilir: KB5008102, KB5008380, KB5008602.
PoC’yi test eden araştırmacılar, varsayılan yapılandırmalarda standart Active Directory kullanıcısından bir Etki Alanı Yöneticisine ayrıcalıkları yükseltmek için aracı kolayca kullanabildiklerini belirttiler.

İstismar nasıl tespit edilir, uzlaşma belirtileri
Microsoft ayrıca, anormal cihaz adı değişikliklerini arayan Defender for Identity gelişmiş arama sorgusunu kullanarak ortamınızdaki kötüye kullanım belirtilerini algılama ve potansiyel olarak güvenliği ihlal edilmiş sunucuları belirleme konusunda ayrıntılı yönergeler paylaştı.
Adım adım kılavuz, savunucuların şunları yapmasını gerektirir:
- sAMAccountName değişikliği 4662 olayını temel alır. Bu tür etkinlikleri yakalamak için lütfen etki alanı denetleyicisinde etkinleştirdiğinizden emin olun. Burada nasıl yapılacağı hakkında daha fazla bilgi edinin
- Microsoft 365 Defender’ı açın ve şuraya gidin: Gelişmiş Avcılık.
- Aşağıdaki sorguyu kopyalayın (bu, Microsoft 365 Defender GitHub’da da mevcuttur). Gelişmiş Avcılık sorgusu):
IdentityDirectoryEvents | where Timestamp > ago(1d) | where ActionType == "SAM Account Name changed" | extend FROMSAM = parse_json(AdditionalFields)['FROM SAM Account Name'] | extend TOSAM = parse_json(AdditionalFields)['TO SAM Account Name'] | where (FROMSAM has "$" and TOSAM !has "$") or TOSAM in ("DC1", "DC2", "DC3", "DC4") // DC Names in the org | project Timestamp, Application, ActionType, TargetDeviceName, FROMSAM, TOSAM, ReportId, AdditionalFields
- İşaretli alanı, etki alanı denetleyicilerinizin adlandırma kuralıyla değiştirin
- Sorguyu çalıştırın ve etkilenen cihazları içeren sonuçları analiz edin. Kullanabilirsiniz Windows Olayı 4741 yeni yaratılmışlarsa bu makinelerin yaratıcısını bulmak için
- Bunları araştırmanızı öneririz güvenliği ihlal edilmiş bilgisayarlar ve silahlanmadıklarını belirlemek.
Microsoft, “Araştırma ekibimiz, sorgular veya kullanıma hazır algılamalar yoluyla bu güvenlik açıklarını saptamak için daha fazla yol oluşturma çabalarına devam ediyor.” katma.