{"id":260809,"date":"2021-12-22T09:09:32","date_gmt":"2021-12-22T08:09:32","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=260809"},"modified":"2022-01-29T10:30:44","modified_gmt":"2022-01-29T09:30:44","slug":"microsoft-warnung-vor-active-directory-domain-bernahme-wegen-nicht-gepatchter-schwachstellen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/12\/22\/microsoft-warnung-vor-active-directory-domain-bernahme-wegen-nicht-gepatchter-schwachstellen\/","title":{"rendered":"Microsoft-Warnung vor Active Directory Domain-Übernahme wegen nicht gepatchter Schwachstellen"},"content":{"rendered":"

\"Windows\"[English<\/a>]Microsoft hat zum 20. Dezember 2021 in einem Techcommunity-Beitrag vor einer neuen Gefahr gewarnt. Im November 2021 wurden zum Patchday die Schwachstellen CVE-2021-42287 und CVE-2021-42278 durch Windows-Updates beseitigt. Seit Dezember 2021 liegt ein Proof of Concept (PoC) vor, dass diese Schwachstellen zur \u00dcbernahme einer Active Directory Domain missbraucht. Hier einige Informationen – und gleichzeitig kann ich ein Thema mit abdecken, welches bereits einige Tage hier der Ver\u00f6ffentlichung harrt. Erg\u00e4nzung:<\/strong> Beachtet den Nachtrag zu Problemen mit Linux-Clients.<\/p>\n

<\/p>\n

\"\"Das Thema ist schon seit dem 10.\/11. Dezember 2021 auf der Agenda, weil da ein PoC f\u00fcr die Schwachstellen CVE-2021-42287 and CVE-2021-42278 ver\u00f6ffentlicht wurde. Der nachfolgende Tweet adressiert das Ganze in aller K\u00fcrze:<\/p>\n

\"CVE-2021-42287<\/p>\n

CVE-2021-42287 \/ CVE-2021-42278 erm\u00f6glicht DC-\u00dcbernahme<\/h2>\n

Am 20. Dezember 2021 hat Microsoft das Ganze nochmals im Techcommunity-Beitrag SAM Name impersonation<\/a> aufgegriffen und weist darauf hin, dass die Sicherheitsl\u00fccken CVE-2021-42287<\/a> und CVE-2021-42278<\/a> im November 2021 durch Sicherheitsupdates geschlossen wurden. Die Kombination dieser beiden Schwachstellen kann es einem Angreifer erm\u00f6glichen, einen Dom\u00e4nenadministrator-Benutzer in einer Active Directory-Umgebung zu erstellen. Es reicht, einen normalen Benutzer in der Dom\u00e4ne zu kompromittieren, um sich die Berechtigungen eines Dom\u00e4nenadministrators zu verschaffen.<\/p>\n

Das Problem mit den Windows-Sicherheitsupdates vom November 2021 war, dass diese massive Probleme mit der Synchronisation mit Domain Controllern verursachten. Ich hatte u.a. im Blog-Beitrag November 2021 Patchday-Probleme: WSUS, DC, Events<\/a> berichtet. Microsoft musste Sonderupdates ver\u00f6ffentlichen, um das Ganze wieder einzufangen (siehe Windows 10\/Windows Server: Sonderupdates korrigieren DC-Authentifizierungsfehler (14.11.2021)<\/a>). Das hat m\u00f6glicherweise dazu gef\u00fchrt, dass Systeme noch ohne diese Updates betrieben werden.<\/p><\/blockquote>\n

Im oben erw\u00e4hnten Techcommunity-Beitrag SAM Name impersonation<\/a> weist Microsoft darauf hin, dass seit dem 12. Dezember 2021 ein Proof-of-Concept (PoC) ver\u00f6ffentlicht wurde, welches diese Schwachstellen ausnutzt. Administratoren werden nachdr\u00fccklich aufgefordert, sofort die Updates KB5008102<\/a>, KB5008380<\/a> und KB5008602<\/a> zu installieren, um ihre Domain Controller zu sch\u00fctzen.<\/p>\n

Der Techcommunity-Beitrag skizziert die Wirkung der beiden Schwachstellen. Zudem enth\u00e4lt der Beitrag auch eine Schritt-f\u00fcr-Schritt-Anleitung, um herauszufinden, ob eine Maschine bereits kompromittiert ist. Die Kollegen von Bleeping Computer haben das in diesem Beitrag<\/a> nochmals zusammen gefasst, wodurch das Thema erneut auf meiner Agenda hoch rutschte. Zudem hat Mauricio Velazco auf Medium den Beitrag Hunting for samAccountName Spoofing (CVE-2021\u201342278) & Domain Controller Impersonation (CVE-2021\u201342287)<\/a> zum Thema auf Medium ver\u00f6ffentlicht und weist in folgendem Tweet<\/a> darauf hin.<\/p>\n

\"CVE-2021-42278<\/a><\/p>\n

Enforcement Mode aktivieren<\/h2>\n

Bei mir d\u00fcmpelt seit einigen Wochen noch eine kurze Nachricht von Microsoft, die mit dem obigen Text wieder relevant wird. In diesem Dokument<\/a> zu Update KB5008380 schreibt Microsoft:<\/p>\n

Nach der Installation von Windows-Updates vom 9. November 2021 oder sp\u00e4ter werden PACs zum TGT aller Dom\u00e4nenkonten hinzugef\u00fcgt, auch zu denen, die zuvor PACs abgelehnt haben.<\/p><\/blockquote>\n

Um eine Umgebung mit einem Domain Controller zu sch\u00fctzen und Ausf\u00e4lle zu vermeiden, m\u00fcssen Administratoren folgende Daten im Hinterkopf behalten bzw. folgenden Schritte durchf\u00fchren:<\/p>\n