Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Microsoft, Active Directory hataları aracılığıyla kolay Windows etki alanı devralma konusunda uyardı

Microsoft, Active Directory hataları aracılığıyla kolay Windows etki alanı devralma konusunda uyardı

Microsoft bugün müşterileri, birleştirildiklerinde saldırganların Windows etki alanlarını kolayca ele geçirmesine olanak tanıyan iki Active Directory etki alanı hizmeti ayrıcalığı yükseltme güvenlik açığını düzeltmeleri konusunda uyardı.

Şirket, iki güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı ( CVE-2021-42287 ve CVE-2021-42278 ve Catalyst IT’den Andrew Bartlett tarafından Kasım 2021 Yaması Salı günü bildirildi.

Redmond’un, her ikisi de saldırganların etki alanı denetleyicilerinin kimliğine bürünmesine izin veren iki hatayı hemen düzeltmeye yönelik uyarısı, bu güvenlik açıklarından yararlanabilen bir kavram kanıtı (PoC) aracının 11 Aralık’ta Twitter ve GitHub’da paylaşılmasından sonra geliyor.

Microsoft, bugün yayınlanan bir danışma belgesinde “Bu iki güvenlik açığı birleştirildiğinde, bir saldırgan bir Active Directory ortamında bu yeni güncellemeleri uygulamamış bir Etki Alanı Yöneticisi kullanıcısına giden basit bir yol oluşturabilir.”

“Bu yükseltme saldırısı, saldırganların, etki alanındaki normal bir kullanıcıyı tehlikeye attıktan sonra ayrıcalıklarını kolayca bir Etki Alanı Yöneticisininkine yükseltmelerine olanak tanır.

“Her zaman olduğu gibi, en son yamaları mümkün olan en kısa sürede etki alanı denetleyicilerine dağıtmanızı şiddetle tavsiye ediyoruz.”

Windows yöneticilerinden, aşağıdaki bilgi bankası makalelerinde ayrıntılı olarak açıklanan adımları ve bilgileri kullanarak saldırılara maruz kalan cihazları güncellemeleri önerilir: KB5008102, KB5008380, KB5008602.

PoC’yi test eden araştırmacılar, varsayılan yapılandırmalarda standart Active Directory kullanıcısından bir Etki Alanı Yöneticisine ayrıcalıkları yükseltmek için aracı kolayca kullanabildiklerini belirttiler.

CVE-2021-42278 istismar aracı iş başında
CVE-2021-42278 ve CVE-2021-42287 istismar aracı iş başında (s*s*m)

İstismar nasıl tespit edilir, uzlaşma belirtileri

Microsoft ayrıca, anormal cihaz adı değişikliklerini arayan Defender for Identity gelişmiş arama sorgusunu kullanarak ortamınızdaki kötüye kullanım belirtilerini algılama ve potansiyel olarak güvenliği ihlal edilmiş sunucuları belirleme konusunda ayrıntılı yönergeler paylaştı.

Adım adım kılavuz, savunucuların şunları yapmasını gerektirir:

  1. sAMAccountName değişikliği 4662 olayını temel alır. Bu tür etkinlikleri yakalamak için lütfen etki alanı denetleyicisinde etkinleştirdiğinizden emin olun. Burada nasıl yapılacağı hakkında daha fazla bilgi edinin
  2. Microsoft 365 Defender’ı açın ve şuraya gidin: Gelişmiş Avcılık.
  3. Aşağıdaki sorguyu kopyalayın (bu, Microsoft 365 Defender GitHub’da da mevcuttur). Gelişmiş Avcılık sorgusu):
    IdentityDirectoryEvents
    | where Timestamp > ago(1d)
    | where ActionType == "SAM Account Name changed"
    | extend FROMSAM = parse_json(AdditionalFields)['FROM SAM Account Name']
    | extend TOSAM = parse_json(AdditionalFields)['TO SAM Account Name']
    | where (FROMSAM has "$" and TOSAM !has "$")
            or TOSAM in ("DC1", "DC2", "DC3", "DC4") // DC Names in the org
    | project Timestamp, Application, ActionType, TargetDeviceName, FROMSAM, TOSAM, ReportId, AdditionalFields
  4. İşaretli alanı, etki alanı denetleyicilerinizin adlandırma kuralıyla değiştirin
  5. Sorguyu çalıştırın ve etkilenen cihazları içeren sonuçları analiz edin. Kullanabilirsiniz Windows Olayı 4741 yeni yaratılmışlarsa bu makinelerin yaratıcısını bulmak için
  6. Bunları araştırmanızı öneririz güvenliği ihlal edilmiş bilgisayarlar ve silahlanmadıklarını belirlemek.

Microsoft, “Araştırma ekibimiz, sorgular veya kullanıma hazır algılamalar yoluyla bu güvenlik açıklarını saptamak için daha fazla yol oluşturma çabalarına devam ediyor.” katma.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.