Depuis peu, du code de preuve de concept est disponible sur le réseau, qui exploite des failles de sécurité dans l’Active Directory de Microsoft pour étendre les droits. Lors du Patchday de novembre, la firme de Redmond a mis à disposition une mise à jour qui comble les failles du service. Microsoft insiste donc une nouvelle fois sur l’importance d’appliquer les mises à jour pour l’AD.
Sommaire
Une faille facilement exploitable
La firme de Redmond décrit la facilité avec laquelle les failles peuvent être exploitées en combinaison pour obtenir des autorisations d’administrateur de domaine. Dans un Active Directory, il existe des comptes d’utilisateurs et d’ordinateurs. Ceux-ci possèdent entre autres un sAMAccountName (compte SAM) – les ordinateurs ont traditionnellement un $ à la fin du compte SAM, soit par exemple CLIENT1$. Il n’y a pas de restrictions ni de tests concernant l’utilisation du signe $ dans les noms de comptes SAM.
La première vulnérabilité semble d’abord inoffensive (CVE-2021-42278, élevée). Dans la configuration AD standard, un utilisateur peut modifier jusqu’à dix comptes d’ordinateur. En tant que propriétaire d’un tel compte informatique, l’utilisateur peut en outre modifier le sAMAccountName, explique Microsoft.
La deuxième vulnérabilité concerne l’authentification Kerberos dans AD (CVE-2021-42287, élevée). Un Ticket-Granting-Ticket (TGT) et ensuite un Ticket-Granting-Service (TGS) sont demandés par le Key Distribution Center (KDC). Si le KDC ne trouve pas un compte lors d’une demande de TGS, il répète la recherche en ajoutant le signe $.
Relier des bouts détachés
La combinaison de ces deux lacunes est maintenant explosive : si le contrôleur de domaine utilise le compte SAM DC01$ un attaquant pourrait créer un nouveau compte d’ordinateur et transformer son compte SAM en compte d’utilisateur. DC01 serait renommé. Il déclenche ainsi une requête Kerberos pour un ticket de validation de ticket et attribue ensuite au compte informatique un autre nom dans le compte SAM.
Avec le TGT reçu pour DC01 l’attaquant lance ensuite une requête TGS. Le Centre de distribution de clés ne trouve pas le compte d’ordinateur, ajoute automatiquement un signe $ – la recherche est maintenant fructueuse et l’attaquant obtient les droits de DC01$: Administrateur de domaine.
Installer les mises à jour et consigner les événements
Dans un article de blog, Microsoft recommande d’appliquer les mises à jour disponibles depuis novembre, car un outil de preuve de concept a été publié pour exploiter la combinaison de vulnérabilités. L’entreprise y décrit en outre comment la fonction « Advanced Hunting » de Microsoft 365-Defender permet de détecter de telles manipulations.
Comme les changements de nom de compte SAM s’accompagnaient de l’Event-ID 4662, les administrateurs devraient s’assurer que cet événement est consigné. Cela permettrait de détecter les tentatives d’attaques potentielles dans les journaux Windows.