fbpx

Наши представительства: 

Заказать обратный звонок
btn

Эксплойт noPac: Новая уязвимость Microsoft AD может привести к полной компрометации домена за считанные секунды

Новость

Что случилось?

Недавно компания Microsoft обнародовала два критических CVE, связанных с Active Directory (CVE-2021-42278 и CVE-2021-42287), которые при их комбинированном использовании атакующим могут привести к повышению привилегий и, как следствие, — к компрометации домена.

В середине декабря 2021 был обнаружен эксплойт, объединяющий эти два дефекта в Microsoft Active Directory (называемый также "noPac"). Он позволял злоумышленнику повысить привилегии обычного пользователя домена до администратора, что давало возможность осуществить множество атак, таких как овладение доменом или ransomware.

Это вызывает серьезную обеспокоенность, поскольку данный эксплойт был подтвержден многими исследователями как эксплойт, не требующий значительных усилий для его эксплуатации и оказывающий поистине критическое воздействие. Исследователи из Secureworks продемонстрировали, как можно использовать эти уязвимости Active Directory для получения привилегированных прав доступа к домену всего за 16 секунд. Да, вы все правильно поняли — взломанный домен за четверть минуты!


Последствия и реакция Microsoft

К этим уязвимостям нельзя относиться несерьезно, поскольку теперь существует общедоступный эксплойт, позволяющий захватить домен без особых усилий (с использованием лишь стандартной конфигурации). Захват привилегий домена позволяет субъектам угроз получить контроль над ним и использовать его в качестве отправной точки для развертывания вредоносного ПО, включая ransomware. Это один из самых серьезных эксплойтов, обнаруженных за последние 12 месяцев, но он был менее обсуждаем, частично из-за повышенного внимания к уязвимости Log4j. Microsoft охарактеризовала последнюю CVE как "менее вероятную" угрозу безопасности, хотя эксплойты на тот момент уже были обнародованы.

Тем не менее в связи с критичностью обнаруженных ошибок Microsoft опубликовала руководство для пользователей, содержащее инструкции о том, что им необходимо сделать, чтобы снизить вероятность компрометации с помощью этого публичного эксплойта.


Среди рекомендаций:

  • Убедиться, что все контроллеры домена (DCs) "пропатчены". Если хотя бы один из них останется неисправленным, это будет означать, что весь домен по-прежнему уязвим. Исправление контроллера домена не является тривиальной задачей, учитывая его критически важные свойства.
  • Выполнить ручной поиск подозрительных событий, а затем использовать эти события в качестве отправной точки для дальнейшего ручного расследования. Мало того, что нужно будет выполнить ручной поиск, так еще и необходимо будет вручную указать все названия контроллера домена. Опять же, любая ошибка, допущенная вручную, может привести к упущению зацепок в поиске.


Что это значит для пользователей Falcon?

Пользователи CrowdStrike Falcon Identity Protection могут автоматически обнаруживать попытки использования этих уязвимостей - даже если у них не было возможности применить исправления к контроллеру домена Active Directory. Это стало возможным благодаря недавно выпущенному расширению от CrowdStrike, которое позволяет автоматически детектировать использование CVE-2021-42278 и CVE-2021-42287 (также известных как "noPac"), оповещая о любых попытках их использования. CrowdStrike понимает, что командам безопасности и без того приходится весьма нелегко, поэтому производители позаботились о том, чтобы процесс обнаружения не требовал дополнительной ручной настройки со стороны клиентов.

В дополнение к вышеупомянутой функции выявления, Falcon Identity Protection может блокировать noPac с помощью простой политики, обеспечивающей многофакторную аутентификацию (MFA) для пользователей, вне зависимости от факта обнаружения. Таким образом, юзеры, которые защищены политикамиFalcon Identity Protection находятся в безопасности.


Это не первый случай, когда пользователи Falcon Identity Protection получают надежную защиту от обнаруженных уязвимостей в Microsoft Active Directory.

В январе 2021 года была обнаружена уязвимость MSRPC Printer Spooler Relay (CVE-2021-1678), потребовавшая от пользователей немедленного внесения исправлений. И в этом случае недостаточно было просто "пропатчить" свою инфраструктуру - требовалась дополнительная настройка Falcon Identity Protection также покрыл эту уязвимость, обнаружив аномалии NTLM и атаки NTLMrelayа.

Атака Bronze Bit (CVE-2020-17049) — еще один пример уязвимости, которую заметили более года назад. Решение данной проблемы со стороны Microsoft заключалось в том, чтобы попросить пользователей немедленно "пропатчить" контроллеры домена. И в то время, как пользователи Falcon Identity Protection уже имели все необходимые средства для выявления, Microsoft до сих пор медлят с запланированным выпуском инструментов обнаружения CVE-2020-17049.

Существуют и другие уязвимости, такие как Zerologon (CVE-2020-1472), которые ежегодно находят в Microsoft Active Directory, а также постоянные проблемы с компрометацией supply chain Microsoft AD.


Вероятно, в будущем мы не перестанем наблюдать новые уязвимости. Вопрос заключается лишь в том, насколько хорошо защищена ваша организация, прежде чем вы сможете создать патч в своей среде и убедиться, что при этом больше ничего не нарушено. Как видно из приведенных выше примеров, пользователи Falcon Identity Protection защищены не только специальными средствами обнаружения, но и возможностью применения политики Zero Trust для предотвращения кражи учетных данных и эксплуатации в домене.


Вывод

Эта уязвимость еще раз демонстрирует прямую взаимосвязь между идентификацией (identity) и программами-вымогателями. Установка патчей и изменение конфигурации может занять большое количество времени, особенно при наличии нескольких уязвимостей одновременно (например, Log4j). CrowdStrike на постоянной основе обеспечивает бесперебойную безопасность и защиту своих клиентов для того, чтобы они имели возможность свободно приоритизировать свою работу в соответствии с бизнес-планом.

Узнайте больше о решениях от CrowdStrike.


iIT Distribution предлагает компаниям наилучшие решения для защиты и повышения эффективности своих ИТ-инфраструктур. Мы практикуем комплексный подход, при котором клиент получает необходимое ПО, техническое оборудование, а также услуги по внедрению и продвижению.

Назад

Mobile Marketing
+
ru_RURussian