2021年12月12日，中安網(wǎng)星身份安全研究中心監(jiān)測到GitHub上公開了CVE-2021-42287/CVE-2021-42278 權(quán)限提升漏洞POC。

Active Directory 是大部分企業(yè)內(nèi)部的核心身份基礎(chǔ)設(shè)施，負(fù)責(zé)大量系統(tǒng)的身份認(rèn)證與計(jì)算機(jī)管理。域內(nèi)管理權(quán)限涉及企業(yè)身份核心，一直以來都是企業(yè)內(nèi)網(wǎng)安全的重要關(guān)注內(nèi)容。本次披露的CVE-2021-42287/CVE-2021-42278 權(quán)限提升漏洞可將域內(nèi)的任意用戶提升至域管權(quán)限，對企業(yè)身份認(rèn)證及相關(guān)數(shù)據(jù)資產(chǎn)造成了嚴(yán)重威脅。
中安網(wǎng)星身份安全平臺研究中心提醒 Active Directory 用戶：盡快采取安全措施，預(yù)防該漏洞攻擊。目前，智域目錄安全平臺基于事前安全檢查、事中安全監(jiān)控、事后安全修復(fù)的整體AD安全防護(hù)解決方案，可有效阻止由該漏洞來的權(quán)限提升攻擊。

以下是有關(guān)該漏洞以及相關(guān)預(yù)防措施的詳細(xì)內(nèi)容。

1、漏洞風(fēng)險等級評定

2、漏洞概述

在 AD 域中請求ST票證時，首先需要提供 TGT票據(jù)。當(dāng) KDC 未找到請求的ST票證時，KDC 會自動再次搜索帶有$結(jié)尾的用戶。

漏洞原理：如果獲得了 DC 用戶的TGT票據(jù)且域內(nèi)有一臺名為DC$域控，再將DC用戶刪除，此時使用該 TGT去請求s4u2self,如果域控制器帳戶DC$存在，那么DC就能獲得域控制器帳戶(機(jī)器用戶DC$)的ST票證。

假如域內(nèi)有一臺域控名為 DC（域控對應(yīng)的機(jī)器用戶為 DC$），此時攻擊者利用漏洞 CVE-2021-42287 創(chuàng)建一個機(jī)器用戶ZAWX$，再把機(jī)器用戶ZAWX$的sAMAccountName改成DC。然后利用DC去申請一個TGT票據(jù)。再把DC的sAMAccountName改為ZAWX$。這個時候KDC就會判斷域內(nèi)沒有DC和這個用戶，自動去搜索DC$（DC$是域內(nèi)已經(jīng)的域控DC的sAMAccountName），攻擊者利用剛剛申請的TGT進(jìn)行S4U2self，模擬域內(nèi)的域管去請求域控DC的ST票據(jù)，最終獲得域控制器DC的權(quán)限。

漏洞復(fù)現(xiàn)利用截圖：

中安網(wǎng)星智域目錄安全平臺已于2021年12月12日發(fā)布漏洞檢測規(guī)則與修復(fù)措施，已部署目錄安全平臺的客戶請盡快安排升級，未部署目錄安全平臺的企業(yè)請盡快采取相關(guān)安全措施阻止漏洞攻擊。

3、修復(fù)建議

1、安裝補(bǔ)丁KB5008602、KB5008380

2、通過域控的 ADSI 編輯器工具將 AD 域的MAQ配置為0，此做法將中斷此漏洞的利用鏈。

同時可以通過智域平臺掃描 MAQ 值是否配置正確。

4、智域目錄安全平臺解決方案

針對CVE-2021-42287/CVE-2021-42278 權(quán)限提升漏洞，智域目錄安全平臺已經(jīng)支持對該漏洞進(jìn)行檢測預(yù)警:

在檢測到相關(guān)威脅行為后，可通過隔離攻擊來源，阻斷攻擊鏈，有效阻止該攻擊行為后續(xù)可能造成的AD失陷問題。了解相關(guān)漏洞及最新詳情，請關(guān)注中安網(wǎng)星公眾號，后臺留言“漏洞”獲取“漏洞緩解方案”。

同時也可以通過公眾號留言聯(lián)系中安網(wǎng)星AD安全研究人員，獲取相關(guān)技術(shù)支持，我們也將同步更新研究最新進(jìn)展。

參考來源：

https://exploit.ph/cve-2021-42287-cve-2021-42278-weaponisation.html

END