Nach der Veröffentlichung von Sicherheits-Patches für zwei Active Directory-Schwachstellen während des Patch Tuesday im November 2021 forderte Microsoft seine Kunden am 20. Dezember dringend auf, die Patches sofort anzuwenden, um zu verhindern, dass Angreifer Windows-Domänen übernehmen. Zusätzlich zu den Patches können Unternehmen ihre Abwehr gegen Angriffe verbessern, indem sie eine Reihe von Maßnahmen ergreifen, um die unbefugte Erstellung von Konten zu verhindern, die zu einer Eskalation der Privilegien und einem Angriff führen könnten.
Verwandte Lektüre
Ein Blick hinter die Kulissen von CVE-2021-42278 und CVE-2021-42287
Am9. November 2021 veröffentlichte Microsoft vier CVEs im Zusammenhang mit Sicherheitsproblemen in Active Directory und schrieb sie Andrew Bartlett zu. Bei drei dieser Sicherheitsupdates geht es um die Überprüfung der Eindeutigkeit bestimmter Attribute von AD-Objekten und um die Überprüfung, dass sich bei der Ausstellung von Kerberos-Tickets keine Drähte kreuzen, was zur Ausstellung von Tickets für den falschen Principal oder für den falschen Dienst führen kann.
In der Infosec-Community wird häufig spekuliert, dass die Ausnutzung dieser Probleme unzuverlässige Wettlaufsituationen oder andere Grenzfälle umfassen würde. Ein von den Sicherheitsforschern Charlie Clark und Ceri Coburn veröffentlichter Artikel zeigt jedoch, wie CVE-2021-42278 missbraucht werden kann, um Berechtigungen standardmäßig zuverlässig in jeder Domäne/jeder Gesamtstruktur und sogar in Gesamtstruktur-übergreifenden Vertrauensstellungen in bestimmten Konfigurationen zu erweitern.
Vor diesem Sicherheitsupdate gab es keine Vorschrift, wonach das Attribut „sAMAccountName“ von Computer- oder Dienstkonten mit einem Dollarzeichen ($) enden musste, sodass Konten existieren konnten, deren Name bis auf das abschließende Dollarzeichen mit dem Namen privilegierter Konten, wie z. B. domain controller, identisch war.
Charlie und Ceri stellten fest, dass ein Angreifer ein Kerberos-Ticket Granting Ticket (TGT) für ein Konto anfordern konnte, dessen sAMAccountName mit dem eines domain controller identisch war domain controller ohne das abschließende Dollarzeichen), und anschließend das sAMAccountName-Attribut dieses Kontos ändern konnte. Das TGT des Angreifers blieb trotz der Änderung des sAMAccountName-Attributs des Kontos weiterhin gültig.
Nun könnte der Angreifer die Kerberos-Erweiterung „S4U2Self“ aufrufen, um ein Kerberos-Service-Ticket für einen beliebigen Benutzer – einschließlich privilegierter Benutzer wie Mitglieder der Gruppe „Domain Admins“ – für den Dienst zu erhalten, der mit dem TGT des Angreifers verknüpft ist. Der domain controller versuchen, das Ticket für einen Dienst auszustellen, der mit dem Kontonamen auf dem TGT ohne Dollarzeichen verknüpft ist. Wenn der domain controller dieses Konto domain controller finden domain controller , weil sich dessen sAMAccountName-Attribut geändert hat, würde er nach einem Dienst suchen, der mit dem Namen auf dem TGT mit einem nachgestellten Dollarzeichen verknüpft ist, und so das Konto domain controllerfinden. Infolgedessen domain controller der domain controller zuverlässig ein Ticket für den privilegierten Benutzer an den domain controller ausstellen domain controller es an den Angreifer senden.
Obwohl bei diesem Angriff eine Funktion der Kerberos-Erweiterung für eingeschränkte Delegation missbraucht wird (S4U2Self), würde das Hinzufügen aller privilegierten Konten zur Gruppe "Geschützte Benutzer" oder das Einstellen dieser Konten als sensibel für die Delegation das Risiko nicht mindern, da diese Sicherheitskontrollen nur S4U2Proxy betreffen.
Dieser Angriff erfordert zwar Schreibrechte für das sAMAccountName-Attribut eines Kontos, das über mindestens einen Service Principal Name (SPN) verfügt, aber standardmäßig können alle authentifizierten Benutzer bis zu zehn neue Computerkonten in der Domäne erstellen, so dass sie "ihr eigenes Computerkonto mitbringen" und diese Schwachstelle ausnutzen können.
Beachten Sie, dass die Gruppe „Authentifizierte Benutzer“ auch fremde Benutzer aus anderen Gesamtstrukturen mit einer entsprechenden Vertrauensbeziehung umfasst. Daher können Angreifer – bei der Standardkonfiguration – ein Computerkonto in einer vertrauenswürdigen Gesamtstruktur erstellen und den Angriff auch in dieser Gesamtstruktur ausführen, wodurch eine weitere Sicherheitsgrenze überschritten wird.
Wie man CVE-2021-42278 und CVE-2021-42287 entschärft
Um Angriffe zu verhindern, die CVE-2021-42278 und CVE-2021-42287 ausnutzen, empfehle ich drei Maßnahmen:
- Installieren Sie sofort die Patches(CVE-42287 und CVE-422278)
- Ändern Sie den Wert des Attributs MSDS-MachineAccountQuota auf Null
- Wenden Sie das Prinzip des geringsten Privilegs auf die Zuweisung von Benutzerrechten mit der Bezeichnung "Arbeitsstationen zur Domäne hinzufügen" an (SeMachineAccountPrivilege)
Dieser Aktionsplan wird dazu beitragen, die unbefugte Erstellung von Computerkonten zu verhindern und die Hürde für die Ausführung dieses Angriffs sowie verschiedener anderer Angriffe, die ein Computerkonto oder ein Konto mit einem SPN erfordern, zu erhöhen.
