Możesz chcieć wiedzieć, że firma technologiczna z Redmond opublikowała powiadomienie o niektórych lukach, które już załatała, ale teraz wykorzystuje w konfiguracjach, które nie zostały jeszcze zaktualizowane.
Nieco ponad tydzień temu, 12 grudnia, publicznie ujawniono narzędzie do weryfikacji koncepcji, które wykorzystuje te luki.
Microsoft ostrzega swoich użytkowników o nowych exploitach
Jak być może pamiętasz, podczas listopadowego cyklu aktualizacji zabezpieczeń firma Microsoft wydała poprawkę dla dwóch nowych luk: CVE-2021-42287 i CVE-2021-42278.
Obie te luki są opisane jako luka w podniesieniu uprawnień usługi domenowej systemu Windows Active Directory.
Te exploity skutecznie pozwalają złośliwym stronom trzecim na łatwe uzyskanie uprawnień administratora domeny w Active Directory po złamaniu zabezpieczenia standardowego konta użytkownika.
Przedstawiciele Redmond wydali trzy poprawki do natychmiastowego wdrożenia na kontrolerach domeny, a mianowicie:
- KB5008102 — zmiany w usztywnianiu Menedżera kont zabezpieczeń usługi Active Directory (CVE-2021-42278).
- KB5008380 — aktualizacje uwierzytelniania (CVE-2021-42287).
- KB5008602 (kompilacja systemu operacyjnego 17763.2305) Poza pasmem
Ale mimo że wyżej wymienione poprawki były rzeczywiście dostępne od jakiegoś czasu, problem polega na tym, że narzędzie sprawdzające koncepcję, które wykorzystuje te luki, nie zostało publicznie ujawnione przed 12 grudnia.
Zespół badawczy Microsoftu zareagował szybko i opublikował zapytanie, które można wykorzystać do zidentyfikowania podejrzanego zachowania, które wykorzystuje te luki.
To zapytanie może pomóc w wykryciu nienormalnych zmian nazw urządzeń (co powinno się rzadko zdarzać) i porównaniu ich z listą kontrolerów domeny w środowisku.
Jeśli podejrzewasz, że Ty również padłeś ofiarą powyższych sytuacji, przeczytaj uważnie wszystkie szczegóły.
Podejrzewasz, że intruzi używali Twojego systemu? Podziel się z nami swoją opinią w sekcji komentarzy poniżej.
Dodaj komentarz