Haberler

Microsoft, Active Directory Zafiyeti Konusunda Bir Kez Daha Uyardı

Microsoft bugün müşterilerini, saldırganların Windows etki alanlarını kolayca ele geçirmesine olanak tanıyan iki Active Directory etki alanı hizmeti ayrıcalığı yükseltme güvenlik açığını düzeltmeleri konusunda uyardı.

Kasım 2021 Salı Yaması sırasında iki güvenlik açığını ( CVE-2021-42287 ve CVE-2021-42278 olarak izlendi ve Catalyst IT’den Andrew Bartlett tarafından bildirildi) gidermek için güvenlik güncellemeleri yayınladı. Redmond’un, her ikisi de saldırganların etki alanı denetleyicilerinin kimliğini taklit edilmesine izin veren iki hatayı hemen düzeltmesi konusunda uyardı. Ayrıca bu iki zafiyet için PoC yayınlandı. Domain yöneticilerinin aşağıdaki bilgi bankası makalelerinde ayrıntılı olarak açıklanan adımları ve bilgileri kullanarak saldırılara maruz kalan cihazları güncellemeleri yüklemeleri öneriyorKB5008102 , KB5008380 , KB5008602.

İstismar nasıl tespit edilir

IdentityDirectoryEvents
| where Timestamp > ago(1d)
| where ActionType == "SAM Account Name changed"
| extend FROMSAM = parse_json(AdditionalFields)['FROM SAM Account Name']
| extend TOSAM = parse_json(AdditionalFields)['TO SAM Account Name']
| where (FROMSAM has "$" and TOSAM !has "$")
        or TOSAM in ("DC1", "DC2", "DC3", "DC4") // DC Names in the org
| project Timestamp, Application, ActionType, TargetDeviceName, FROMSAM, TOSAM, ReportId, AdditionalFields
  • İşaretli alanı, etki alanı denetleyicilerinizin adlandırma kuralıyla değiştirin.
  • Sorguyu çalıştırın ve etkilenen cihazları içeren sonuçları analiz edin.

Ayıca aşağıdaki powershell komutlarını kullanarak AD üzerindeki uygun olmayan objeleri listeleyebilirsiniz.

Get-ADComputer -LDAPFilter "(samAccountName=*)" |? SamAccountName -NotLike "*$" | select DNSHostName, Name, SamAccountName

Get-ADComputer -LDAPFilter "UserAccountControl:1.2.840.113556.1.4.803:=512”

Kaynak: bleepingcomputer.com

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

Başa dön tuşu

Reklam Engelleyici Algılandı

ÇözümPark Bilişim Portalı gönüllü bir organizasyon olup tek gelir kaynağı reklamlardır. Bu nedenle siteyi gezerken lütfen reklam engelleme eklentinizi kapatın veya Çözümpark web sitesi için izin tanımı yapın. Anlayışınız için teşekkürler.