Úgy tűnik, novemberben keveseknek érte el az ingerküszöbét az Active Directory két fontos javítása. A Microsoft ezért kiadott egy proof-of-conceptet, amelyben bizonyította: a két hiba együttes kihasználásával rendkívül veszélyes támadásokat lehet indítani az Active Directoryt használó vállalati rendszerek ellen.

Az Active Directory a legelterjedtebb címtárkezelő. Az azt érintő legkisebb biztonsági résre is figyelni kell, hiszen a címtárszolgáltatás hivatott biztosítani, hogy a munkatársak és gépek (pl. szoftverek) csakis a nekik kiosztott jogosultság szerint férjenek a vállalati hálózaton a szoftverekhez és szolgáltatásokhoz. Ha tehát valaki megszerzi az Active Directory fölötti felügyeletet, azt tehet az adott hálózatban, amit csak akar, és olyan magas jogosultsággal, amire épp szüksége van. (A témának márciusban önálló cikksorozatot szenteltünk.)

A Microsoft a proof-of-concepttel arra szeretné ösztönzi az ügyfeleit, hogy a lehető leghamarabb telepítsék a már több mint egy hónapja elérhető javításokat. Mindkét hiba, a CVE-2021-42287 és a CVE-2021-42278 is a jogosultsági szint emelését teszi lehetővé. A Microsoft kutatói azonban most bizonyították, hogy a két sérülékenység összekapcsolható, és sokkal egyszerűbbé teszi a az Active Directory domainvezérlőinek a megszemélyesítését és a rendszergazdai jogosultságok megszerzését.

A proof-of-conceptet egyébként már a múlt héten közzétették. A hozzá készített útmutatót azonban csak most adta ki a vállalat. Ebben elsősorban azt mutatja be, hogy az AD-t használók hogyan azonosíthatják a hibák kiaknázására utaló jeleket.

Mint a Daniel Naim szenior termékmenedzser jegyezte szöveg írja, a két biztonsági rést úgy lehet kombinálni, hogy a támadónak egyenes legyen az út egy Domain Admin felhasználóhoz. Az eszkalációs támadás végső soron arra ad lehetőséget, hogy illetéktelenek szerezzenek domain adminisztrátori jogosultságot. Ehhez pedig mindössze az adott tartomány egy normál felhasználóját kell kompromittálni.

Kicsit részletesebben

A CVE-2021-42278 konkrétan arra ad lehetőséget, hogy a támadók meghamisítsák egy fiók sAMAccountName attribútumát, és így személyesítsenek meg egy domainvezérlőt. A biztonsági rés lényege ugyanis épp az, hogy akár egy normál felhasználó is módosíthatja ezt az attribútumot.

Hasonló a problémája a CVE-2021-42287-es biztonsági résnek is. Ez a Kerberos Privilege Attribute Certificate (PAC) tanúsítványt érinti, és végső soron szintén a tartományvezérlő meghamisításához vezethez. A sebezhetőség miatt a kulcselosztó központ, a Key Distribution Center (KDC) a tartományi fiók jogosultsági szintjénél magasabb szolgáltatási jegyeket hoz létre, és a támadó ezt kihasználhatja, hogy domain felhasználói hitelesítőhöz jusson. Ennek birtokában a két sebezhetőség kombinálásával domain szintű adminisztrátori jogosultságokat szerezhet.

A Microsoft útmutatója abban segít, hogy miként lehet azonosítani a rendellenes eszköznévváltozásokat, és összehasonlítani a célkörnyezetben lévő domainvezérlők listájával. A leghatékonyabb védekezés azonban a frissítések mielőbbi telepítése, írja Daniel Naim útmutatója.