noPac: nowa luka w zabezpieczeniach Microsoft AD może w ciągu kilku sekund całkowicie zagrozić domenie

Tożsamość Microsoft ogłosiła niedawno dwa krytyczne CVE związane z Active Directory (CVE-2021-42278 i CVE-2021-42287), które w połączeniu mogą prowadzić do podniesienia uprawnień, a w rezultacie do naruszenia bezpieczeństwa domeny.

W połowie grudnia 2021 roku odkryto exploit łączący te dwie luki w Microsoft Active Directory (nazywany również „noPac„). Pozwalał on hakerom podnosić uprawnienia zwykłego użytkownika domeny do poziomu administratora, co stanowiło otwarcie drzwi dla różnych ataków, takich jak przejęcie domeny czy ransomware.

To poważne zagrożenie, ponieważ ten exploit został określony przez wielu analityków jako łatwy w wykorzystaniu i stanowi realne zagrożenie dla bezpieczeństwa infrastruktury. Analitycy z Secureworks pokazali, że można wykorzystać te luki Active Directory, aby zdobyć uprzywilejowane prawa dostępu do domeny w zaledwie 16 sekund. To złamanie domeny w mniej niż minutę!

Skutki i reakcja Microsoft:

Tych luk nie można lekceważyć, ponieważ istnieje teraz publicznie dostępny exploit pozwalający na przejęcie domeny bez większego wysiłku (z wykorzystaniem domyślnych ustawień). Przejęcie kontroli nad domeną umożliwia cyberprzestępcom wykorzystanie jej jako punktu wyjścia do wdrożenia złośliwego oprogramowania, włącznie z ransomware. To jedno z najpoważniejszych zagrożeń wykrytych w ciągu ostatnich 12 miesięcy, choć nie przyciągnęło takiej samej uwagi jak luka Log4j. Microsoft określił ostatnie CVE jako „mniej prawdopodobne” zagrożenie, mimo że exploity były już dostępne publicznie.

Jednak ze względu na krytyczność tych błędów, Microsoft opublikował poradnik dla użytkowników zawierający instrukcje, jak zmniejszyć ryzyko ataku za pomocą tego publicznego exploitu.

Wśród zaleceń znajdują się:

1. Upewnienie się, że wszystkie kontrolery domeny (DC) zostały zaktualizowane. Jeśli choć jeden z nich pozostanie niezaaktualizowany, cała domena pozostaje podatna. Aktualizacja kontrolera domeny nie jest zadaniem trywialnym ze względu na jego krytyczne znaczenie.
2. Ręczne wyszukiwanie podejrzanych zdarzeń, a następnie wykorzystanie ich jako punktu wyjścia do dalszego ręcznego śledzenia. Co więcej, konieczne będzie nie tylko ręczne wyszukiwanie, ale także ręczne wprowadzenie wszystkich nazw kontrolerów domeny. Ponownie, jakiekolwiek pominięcie może prowadzić do przeoczenia podejrzanych sygnałów.

Co to oznacza dla użytkowników CrowdStrike Falcon?

Użytkownicy oprogramowania CrowdStrike Falcon Identity Protection mogą automatycznie wykrywać próby wykorzystania tych luk – nawet jeśli nie mieli okazji zaktualizować kontrolera domeny Active Directory. Dzieje się to dzięki niedawno wydanemu rozszerzeniu od CrowdStrike, które automatycznie wykrywa wykorzystanie CVE-2021-42278 i CVE-2021-42287 (również znane jako „noPac”) i powiadamia o próbach ich użycia. CrowdStrike zdaje sobie sprawę, że zespoły ds. bezpieczeństwa mają już wystarczająco trudne zadanie, dlatego proces wykrywania nie wymaga dodatkowej konfiguracji ze strony klientów.

Oprócz funkcji wykrywania, Falcon Identity Protection może zablokować noPac za pomocą prostej polityki, która wymusza uwierzytelnianie wieloskładnikowe (MFA) dla użytkowników, niezależnie od wykrytych prób. Dzięki temu użytkownicy chronieni politykami Falcon Identity Protection są bezpieczni.

To nie pierwszy przypadek, gdy użytkownicy Falcon Identity Protection otrzymują solidną ochronę przed wykrytymi podatnościami Microsoft Active Directory.

W styczniu 2021 roku odkryto podatność MSRPC Printer Spooler Relay (CVE-2021-1678), która wymagała natychmiastowej aktualizacji. W tym przypadku samo zaktualizowanie infrastruktury nie wystarczyło – konieczna była dodatkowa konfiguracja. Falcon Identity Protection również pokryło tę podatność, wykrywając anomalie NTLM i ataki NTLM relay.

Atak Bronze Bit (CVE-2020-17049) to kolejny przykład podatności, która została zauważona ponad rok temu. Rozwiązanie Microsoft polegało na pilnym zaktualizowaniu kontrolerów domeny. Podczas gdy użytkownicy Falcon Identity Protection mieli już narzędzia do wykrywania, Microsoft nadal zwlekał z planowanym wydaniem narzędzi do wykrywania CVE-2020-17049.

Istnieją inne luki, takie jak Zerologon (CVE-2020-1472), które są wykrywane co roku w Microsoft Active Directory, a także ciągłe problemy związane z naruszeniami łańcucha dostaw Microsoft AD.

Nadal będziemy obserwować pojawianie się nowych podatności. Warto jednak zadać sobie pytanie, jak dobrze chroniona jest Twoja organizacja, zanim będziesz mógł „załatać” swoje środowisko i upewnić się, że nic innego nie uległo uszkodzeniu. Jak widać na przykładach powyżej, użytkownicy Falcon Identity Protection są chronieni nie tylko za pomocą narzędzi do wykrywania zagrożeń, ale także dzięki możliwości stosowania polityki Zero Trust w celu zapobiegania kradzieży danych logowania i eksploatacji w domenie.

Podsumowanie:

Ta podatność raz jeszcze ilustruje bezpośredni związek między tożsamością (identity) a ransomware. Instalacja łatek i zmiana konfiguracji może zająć dużo czasu, zwłaszcza gdy istnieje wiele podatności jednocześnie (jak np. Log4j). CrowdStrike stale zapewnia nieprzerwane bezpieczeństwo i ochronę swoim klientom, aby mogli swobodnie priorytetyzować swoje działania zgodnie z planem biznesowym.

Dowiedz się więcej o rozwiązaniach CrowdStrike.

iIT Distribution oferuje najlepsze rozwiązania do ochrony i zwiększania wydajności infrastruktury IT. Stosujemy kompleksowe podejście, w ramach którego klient otrzymuje niezbędne oprogramowanie, sprzęt komputerowy oraz usługi wdrożeniowe i promocyjne.