CVE-2021-42278とCVE-2021-42287の合わせ技

ほぼこもセキュリティニュース By Terilogy Worx

一つ一つの問題だけでは、問題は問題でも、そこまで大きな問題にならない場合もあります。
逆に、組み合わせることで、非常に大きな問題になる場合もあります。
そういうものが確認されています。

MicrosoftのActive Directoryに関連する2つの脆弱性があります。
次のようなものです。

  • CVE-2021-42278
    潜在的な攻撃者がコンピューター アカウント SAM-Account-Name スプーフィングを使用してドメイン コントローラーを偽装できるセキュリティバイパスの脆弱性です。
    攻撃はリモートで開始される可能性があります。
    エクスプロイトツールがproof-of-conceptとして存在し、公開されています。
  • CVE-2021-42287
    Kerberos特権属性証明 (PAC) に影響を与えて、潜在的な攻撃者がドメイン コントローラーになりすますことを許可するセキュリティバイパスの脆弱性です。
    攻撃はリモートで開始される可能性があります。
    エクスプロイトツールがproof-of-conceptとして存在し、公開されています。

用語が難しく直感的に危険を感じることは容易ではありませんが要はこの2つを組み合わせると、これができるようになります。

  • 一般ユーザのユーザ名とパスワードの組み合わせが入手できただけで、そのドメインの管理者権限での接続ができる

いずれの脆弱性もドメインに接続するクライアント用途のPCではなく、ドメインコントローラーとして動作している機器にパッチを適用する必要があります。
冗長化が十分ではないなどの何らかの理由でメンテナンスが実施しにくいという環境もあるかもしれません。
しかし、この2つの脆弱性は、どちらもすでにPoCコードが公開されていますので、標的となったらすぐに侵害されうるといえます。

あ、もう適用済みでしたか。
よかったです。

参考記事(外部リンク):Bugs in Active Directory could empower cybercriminals to
gain control over Windows Domain Controllers

thedigitalhacker.com/bugs-in-active-directory-could-empower-cybercriminals-to-gain-control-over-windows-domain-controllers/