fbpx

Наші представництва: 

Замовити зворотній дзвінок
btn

Експлойт noPac: Нова вразливість Microsoft AD може призвести до повної компрометації домену за лічені секунди

Новина

Що сталося?

Нещодавно компанія Microsoft оприлюднила два критичні CVE, пов'язані з Active Directory (CVE-2021-42278 і CVE-2021-42287), які при їх комбінованому використанні зловмисником можуть призвести до підвищення привілеїв і, як наслідок, — до компрометації домену.

У середині грудня 2021 року був виявлений експлойт, що поєднує ці два дефекти в Microsoft Active Directory (його також називають "noPac"). Він дозволяв зловмисникам підвищувати привілеї звичайного користувача домену до адміністратора, що давало можливість здійснити безліч атак, таких як заволодіння доменом або ransomware.

Це викликає серйозне занепокоєння, оскільки цей експлойт був підтверджений багатьма дослідниками як експлойт, який не потребує значних зусиль для його експлуатації і несе в собі дійсно критичний вплив на безпеку інфраструктури. Дослідники з Secureworks продемонстрували, як можна використовувати ці вразливості Active Directory для отримання привілейованих прав доступу до домену лише за 16 секунд. Так, ви все правильно зрозуміли – зламаний домен за чверть хвилини!


Наслідки та реакція Microsoft

До цих уразливостей не можна ставитися несерйозно, оскільки тепер існує загальнодоступний експлойт, що дозволяє захопити домен без особливих зусиль (з використанням стандартного налаштування). Захоплення привілеїв домену дозволяє суб'єктам загроз отримати контроль над ним і використовувати його як відправну точку для розгортання шкідливого ПЗ, включаючи ransomware. Це один із найсерйозніших експлойтів, виявлених за останні 12 місяців, але він був менш обговорюваним, частково через підвищену увагу до вразливості Log4j. Microsoft схарактеризувала останню CVE як "менш ймовірну" загрозу безпеці, хоча експлойти на той момент вже були оприлюднені.

Проте, у зв'язку з критичністю виявлених помилок Microsoft опублікувала посібник для користувачів, який містить інструкції про те, що необхідно зробити, щоб знизити ймовірність компрометації за допомогою цього публічного експлойту.


Серед рекомендацій:

  • Переконатись, що всі контролери домену (DCs) "пропатчені". Якщо хоча б один з них залишиться невиправленим, це означатиме, що весь домен, як і раніше, вразливий. Виправлення контролера домену не є тривіальним завданням з огляду на його критично важливі властивості.
  • Виконати ручний пошук підозрілих подій, а потім використовувати ці події як відправну точку для подальшого ручного розслідування. Щобільше, потрібно буде не лише виконати ручний пошук, а й вручну вказати всі назви контролера домену. Знову ж таки, будь-яка допущена помилка може призвести до упущення зачіпок у пошуку.


Що це означає для користувачів Falcon?

Користувачі CrowdStrike Falcon Identity Protection можуть автоматично виявляти спроби використання цих вразливостей — навіть якщо вони не мали можливості застосувати виправлення до контролера домену Active Directory. Це стало можливим завдяки нещодавно випущеному розширенню від CrowdStrike, яке дозволяє автоматично детектувати використання CVE-2021-42278 та CVE-2021-42287 (також відомих як "noPac"), сповіщаючи про будь-які спроби їх використання. CrowdStrike розуміє, що командам безпеки і без цього доводиться нелегко, тому виробники подбали про те, щоб процес виявлення не вимагав додаткового ручного налаштування з боку клієнтів.

На додаток до вищезгаданої функції виявлення, Falcon Identity Protection може блокувати noPac за допомогою простої політики, що забезпечує багатофакторну автентифікацію (MFA) для користувачів, незалежно від факту виявлення. Таким чином, юзери, захищені політиками Falcon Identity Protection знаходяться в безпеці.


Це не перший випадок, коли користувачі Falcon Identity Protection отримують надійний захист від виявлених вразливостей Microsoft Active Directory.

У січні 2021 року було виявлено вразливість MSRPC Printer Spooler Relay (CVE-2021-1678), що вимагає від користувачів негайного внесення виправлень. І в цьому випадку недостатньо було просто "пропатчити" свою інфраструктуру — потребувалося додаткове налаштування. Falcon Identity Protection також покрив цю вразливість, виявивши аномалії NTLM і атаки NTLMrelayа.

Атака Bronze Bit (CVE-2020-17049) – ще один приклад уразливості, яку помітили понад рік тому. Розв'язання цієї проблеми з боку Microsoft полягало в тому, щоб попросити користувачів негайно "пропатчити" контролери домену. І в той час, як користувачі Falcon Identity Protection вже мали всі необхідні засоби для виявлення, Microsoft досі зволікають із запланованим випуском інструментів виявлення CVE-2020-17049.

Існують інші вразливості, такі як Zerologon (CVE-2020-1472), які щорічно знаходять у Microsoft Active Directory, а також постійні проблеми з компрометацією supply chain Microsoft AD.


Ймовірно, у майбутньому ми не перестанемо спостерігати нові вразливості. Питання лише в тому, наскільки добре захищена ваша організація, перш ніж ви зможете створити патч у своєму середовищі і переконатися, що при цьому більше нічого не порушено. Як видно з наведених вище прикладів, користувачі Falcon Identity Protection захищені не лише спеціальними засобами виявлення, але й можливістю застосування політики Zero Trust для запобігання крадіжці облікових даних та експлуатації в домені.


Висновок

Ця вразливість ще раз демонструє прямий взаємозв'язок між ідентифікацією (identity) та програмами-вимагачами. Встановлення патчів та зміна конфігурації може забрати багато часу, особливо за наявності декількох вразливостей одночасно (наприклад, Log4j). CrowdStrike на постійній основі забезпечує безперебійну безпеку та захист своїх клієнтів для того, щоб вони мали змогу вільно пріоритизувати свою роботу відповідно до бізнес-плану.

Дізнайтеся більше про рішення від CrowdStrike.


iIT Distribution пропонує компаніям найкращі рішення для захисту та підвищення ефективності своїх ІТ-інфраструктур. Ми практикуємо комплексний підхід, при якому клієнт отримує необхідне програмне забезпечення, технічне обладнання, а також послуги з впровадження та просування.

Назад

Mobile Marketing
+
ukUkrainian