Skip to main content

    Undervurderte sårbarheter ved Microsoft Active Directory utnyttes nå med exploit tilgjengelig og distribuert. Sårbarhetene det dreier seg om er CVE-2021-42287 og CVE-2021-42278

    Sårbarheten gir elevert brukertilgang til Domain Admin status, Netsecurity har bekreftet sårbarheten på patchede systemer. De opprinnelige CVE'ene fikk 7.5 i vurdering, men bassert på nye oppdagelser vil Netsecurity anbefale ny revurdering og at alle gjør nye vurdering av sine systemer. Microsoft har i etterkant sluppet ny patch, som vi registrerer at flere ikke har fått med seg/oppgradert til.

    ad_PAC_poc

    Exploit Writeups:

    Netsecurity sitt RedTeam har testet og verifisert i LAB at sårbarhet fungerer på tidligere patched Active Directory tjenere. 

    Tiltak:

    Microsoft slapp senere en ny oppdatering som vil forhindre PAC sårbarheten, dette med patch KB5008602 eller KB5008380.

    Det anbefales også å herde registry på eksisterende AD med å lage et nytt registry felt eller endre på: 

    • SubKey: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
    • Data type: REG_DWORD
    • Value: PacRequestorEnforcement
    • Data: 2 (standard er 1)

     

     

     

    Oslo

    Drammensveien 288

    0283 Oslo

    Bergen

    Sandviksbodene 1

    5035 Bergen

    Stavanger

    Kanalsletta 4

    4033 Stavanger

    Grimstad

    Bark Silas vei 5

    4876 Grimstad

    Kristiansand

    Dronningens gt 12

    4610 Kristiansand

    Trondheim

    Krambugata 2

    7011 Trondheim

    Stockholm

    Kammakargatan 22

    111 40 Stockholm