CVE-2021-42278 (sAMAccountName spoofing)

Active Directory Web Service (ADWS)’de bulunan bir güvenlik açığıdır. Bu zafiyet, saldırganın sahte bir SChannel SSL/TLS kimlik doğrulama isteği göndererek, kendisini bir hesap olarak taklit etmesine olanak tanır. Saldırgan, ADWS’ye kimlik doğrulama yapmadan bağlanarak, etkilenen hesabın yetkilerine erişim sağlamaktadır. Bu sayede saldırgan Active Directory üzerinde yer alan hassas bilgilere erişmesine, hesapları kontrol etmesine ve sistemi ele geçirmesine olanak sağlamaktadır.

CVE-2021-42278 sayesinde sisteme erişim sağlayan saldırganlar Active Directory yapısına bağlı kullanıcıların oturum açmak için kullandığı SAM-Account-Name bilgisini kolayca değiştirebilmektedir.

Saldırı Nasıl Gerçekleşir?

Saldırgan, kimlik doğrulama isteği gönderirken, sahte bir samAccountName değeri kullanarak, gerçek bir kullanıcının kimlik bilgilerini taklit edebilir. ADWS, bu isteği kabul eder ve saldırganı yetkilendirilmemiş erişim sağlayan bir oturum açar. Bu sayede kullanıcı hesaplarının kimlik bilgilerini çalabilir, hesapları kontrol edebilir veya veri kaybına neden olabilmektedir.

CVE-2021-42287 (deceiving the KDC)

Active Directory ortamındaki Kerberos protokolü için bir güvenlik açığıdır. Bu zafiyet, Key Distribution Center (KDC) bileşenindeki bir hatadan kaynaklanmaktadır. Bu sayede saldırganın bir hedef Domain Controller üzerindeki kimlik doğrulamasını atlatmasına izin vermektedir.

Saldırı Nasıl Gerçekleşir?

Saldırgan hedef hesabın kimliğini ele geçirmek için KDC’yi yanıltır. Bunun için, saldırganlar, KDC’ye bir kimlik doğrulama isteği gönderirler ve istekteki bilgileri yanıltıcı bir şekilde değiştirirler. KDC, isteği gönderenin bir başka hesap olduğunu düşünülür ve istek kabul edilmektedir.

İstismar İşlemi (Exploitation)

CVE-2021-42278 ve CVE-2021-42287 zafiyetlerini kullanarak standart bir domain kullanıcısından Domain Admin hakları taklit edilmiştir.

CVE-2021-42278 ve CVE-2021-42287 zafiyetleri noPAC.py aracı kullanılarak sömürülmüştür. noPAC aracı sayesinde saldırgan Kerberos PAC (Privilege Attribute Certificate – Kerberos bileti içinde saklanan ve kullanıcının kimlik doğrulama verisidir.) doğrulama kontrolünü atlatarak, herhangi bir kullanıcıyı domainde taklit etmesine ve yetkisiz erişim elde etmesine olanak tanımaktadır.

Aşağıda gösterildiği şekilde standart bir domain kullanıcı ile Domain Controller üzerinde Administrator haklarını taklit ederek domain controller üzerinde shell elde edilmiştir.

Aynı zamanda Administrator haklarına bürünerek hashleri dump etme işlemi de yapılabilmiştir.

Nasıl Tespit Edilir?

1. Windows olay günlüğündeki olaylar izlenerek tespit edilebilir.
2. Şüpheli bilgisayar hesap adı değişiklikleri kontrol edilmelidir. (event id=4781)
3. Şüpheli kerberos servisi bilet istekleri kontrol edilmelidir. (event id=4769)
4. Şüpheli kerberos bileti veren bilet istekleri kontrol edilmelidir. (event id=4768)

Öneriler

CVE-2021-42278 ve CVE-2021-42287 zafiyetleri için yayınlanan Microsoft güvenlik yamalarının uygulanması gerekmektedir.

Referanslar

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42278
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42287
• https://github.com/Ridter/noPac