- Microsoft предупреждава своите потребители за още една опасна експлоатирана уязвимост.
- Използвайки CVE-2021-42287 и CVE-2021-42278, нападателите могат да нарушат вашата система.
- Злонамерени трети страни, за да получат лесно администраторски права на домейн в Active Directory.
- Технологичният гигант сега ни съветва всички да актуализираме до наличните сигурни версии.
Може да искате да знаете, че базираната в Редмънд технологична компания е издала съвет за някои уязвимости, които вече е коригирал, но сега се експлоатира в конфигурации, които не са го направили все още е актуализиран.
Преди малко повече от седмица, на 12 декември, инструмент за доказване на концепцията, използващ тези уязвимости, беше публично разкрит.
Microsoft призовава потребителите да коригират тези уязвимости
Както всички помните, по време на цикъла на актуализация на сигурността през ноември, Microsoft пусна корекция за две нови уязвимости, CVE-2021-42287 и CVE-2021-42278.
И двете от тези уязвимости се описват като a Уязвимост при ескалация на привилегиите на услугата на домейн на Windows Active Directory.
Тези експлойти всъщност позволяват на злонамерени трети страни лесно да получат привилегии на администратор на домейн в Active Directory, след като компрометират обикновен потребителски акаунт.
Служителите на Редмънд пуснаха три пачове за незабавно внедряване на домейн контролери, както следва:
- KB5008102—Промени за втвърдяване на мениджъра на акаунти за сигурност на Active Directory (CVE-2021-42278)
- KB5008380—Актуализации за удостоверяване (CVE-2021-42287)
- KB5008602 (версия на ОС 17763.2305) Извън лента
Но въпреки че гореспоменатите пачове всъщност са налични от известно време, проблемът е че инструмент за доказване на концепцията, който използва тези уязвимости, беше публично разкрит едва през декември 12.
Изследователският екип на Microsoft реагира бързо и публикува запитване които могат да се използват за идентифициране на подозрително поведение, използващо тези уязвимости.
Тази заявка може да помогне за откриване на необичайни промени в имената на устройството (които трябва да се случват рядко в началото) и да ги сравни със списък с контролери на домейни във вашата среда.
Уверете се, че сте проверили внимателно всички подробности, ако подозирате, че и вие сте жертва на гореспоменатите ситуации.
И най-важното, актуализирайте до защитените версии, предоставени от Microsoft, за да сте сигурни, че сте една крачка пред всички потенциални заплахи.
Подозирате ли, че заплахите са експлоатирали вашата система? Споделете вашето мнение с нас в секцията за коментари по-долу.
