Lo scorso 11 dicembre su Twitter e GitHub è stato pubblicato un proof-of-concept (PoC) che dimostra come due vulnerabilità di Microsoft Active Directory, classificate con gli identificativi CVE-2021-42287 e CVE-2021-42278, possano essere sfruttate per aggredire un’azienda e prendere il controllo di un dominio.
Microsoft ha appena confermato che le due vulnerabilità, specie se combinate in un unico attacco, possono essere utilizzate dai criminali informatici per prendere possesso di un dominio Windows senza averne alcun diritto.
Abbiamo già visto come configurare Active Directory in rete: ecco, le vulnerabilità venute a galla danno modo di acquisire i privilegi dell’amministratore del dominio a partire da un normale account utente. A meno di specifiche eccezioni, lo sfruttamento da remoto della falla di sicurezza non è possibile ma per un aggressore non è cosa complessa far leva a distanza su un account normale utilizzando varie strategie.
Microsoft invita quindi tutti gli amministratori IT a installare sui controller di dominio le patch correttive documentate nei bollettini KB5008102, KB5008380 e KB5008602.
L’azienda di Redmond ha anche condiviso una guida dettagliata su come rilevare eventuali segni di un attacco già messo a segno nella propria infrastruttura aziendale.
Nella guida passo passo viene chiesto di abilitare gli eventi 4662 per “catturare” attività sospette, aprire Microsoft 365 Defender e utilizzare la sua funzione di ricerca avanzata.
La query da passare a Microsoft 365 Defender può essere copiata da questa pagina (paragrafo Step by Step Guide to Identify Potential Compromised Computers via Advanced Hunting Query).
Prima di avviare l’interrogazione si deve aver cura di sostituire i vari riferimenti usando la nomenclatura adoperata nell’ambito del proprio controller di dominio.
Il risultato della query contiene le eventuali macchine compromesse con l’evento 4741 che metterà in evidenza l’account utilizzato per scopi malevoli.
Come ultimo passo si dovrà esaminare con la massima attenzione il contenuto delle macchine oggetto di attacco isolandole dalla rete. Ovviamente è necessario installare comunque le patch correttive rilasciate da Microsoft il prima possibile.