مایکروسافت با انتشار هشداری از وجود باگ‌های خطرناک در اکتیو دایرکتوری خبر داد. مهاجمان می‌توانند با ترکیب این دو باگ امنیتی، دسترسی خود را ارتقاء دهند و دامین ویندوز را تحت کنترل بگیرند. با اعمال به‌روزرسانی ماه نوامبر، این آسیب‌پذیری‌ها برطرف می‌شوند.

این باگ‌ها که دارای شناسه‌های CVE-2021-42287 و CVE-2021-42278 هستند، توسط اندرو بارلت (Andrew Bartlett) از شرکت کاتالیست آی تی (Catalyst IT) گزارش شده‌اند. این دو باگ طی به‌روزرسانی ماهانه نوامبر 2021 وصله شده‌اند. اما هشدار مایکروسافت در پی انتشار کد اثبات مفهوم بهره‌برداری از آسیب‌پذیری‌ها صادر شد. این کد، روز 11 دسامبر روی توئیتر و گیت‌هاب منتشر شده بود.

در توصیه‌نامه مایکروسافت که 20 دسامبر صادر شد، آمده است: اگر این به‌روزرسانی‌ها در محیط اکتیو دایرکتوری اعمال نشده باشند، مهاجم می‌تواند با ترکیب این دو آسیب‌پذیری، مسیر ساده‌ای را به کاربر ادمین دامین ایجاد کند. این حمله به مهاجم اجازه می‌دهد پس از نفوذ به یک اکانت معمولی، به راحتی دسترسی خود را به ادمین دامین ارتقا دهد. مثل همیشه ما اکیداً توصیه می‌کنیم که هر چه سریع‌تر آخرین وصله‌ها روی دامین کنترلرها (Domain Controllers) اعمال شوند.

محققانی که این کد اثبات مفهوم را آزمایش کرده‌اند میگویند به راحتی توانسته‌اند دسترسی خود را از کاربر استاندارد اکتیو دایرکتوری به ادمین دامین ارتقاء دهند. ادمین‌ها می‌توانند با مراجعه به مقالات KB5008102، KB5008380 و KB5008602 دامینْ کنترلرها را به‌روز کنند.

چگونه نفوذ را تشخیص دهیم؟

برای اینکه نشانه‌های نفوذ و سرورهایی که احتمالاً هک شده‌اند را در محیط خود تشخیص دهید، می‌توانید از روش توضیح داده شده توسط مایکروسافت استفاده کنید. برای این کار از ویژگی advanced hunting query از راهکار Defender for Identity استفاده کنید. مراحل کار عبارت اند از:

• تغییر اکانت sAMAccountName منجر به ایجاد رویداد 4662 می‌شود. این رویداد را در دامینْ کنترلر فعال کنید تا تغییرات این اکانت ثبت شود.
• Microsoft 365 Defender را باز کنید و به قسمت Advanced Hunting بروید.
• پرسش (query) زیر را کپی کنید:

IdentityDirectoryEvents
| where Timestamp > ago(1d)
| where ActionType == “SAM Account Name changed”
| extend FROMSAM = parse_json(AdditionalFields)[‘FROM SAM Account Name’]
| extend TOSAM = parse_json(AdditionalFields)[‘TO SAM Account Name’]
| where (FROMSAM has “$” and TOSAM !has “$”)
or TOSAM in (“DC1”, “DC2”, “DC3”, “DC4”) // DC Names in the org
| project Timestamp, Application, ActionType, TargetDeviceName, FROMSAM, TOSAM, ReportId, AdditionalFields

• به جای DC1، DC2، DC3 و DC4 از الگوی نام‌گذاری دامینْ کنترلرهای خود استفاده کنید.
• پرسش را اجرا کنید و نتایج را، که شامل تجهیزات تحت تأثیر است، تحلیل کنید.
• توصیه می‌کنیم کامپیوترهایی که تحت تأثیر آسیب‌پذیری قرار گرفته‌اند را بررسی کنید و ببینید که آیا در حملات مورد سوء استفاده قرار گرفته‌اند یا خیر.

مایکروسافت ادامه می‌دهد: تیم تحقیقاتی ما به تلاش‌های خود ادامه می‌دهد تا روش‌های بیشتری برای تشخیص این آسیب‌پذیری‌ها ایجاد کند. این روش‌ها ممکن است بر اساس پرسش یا راهکارهای تشخیصی آماده باشند.