Microsoft met en garde contre les vulnérabilités d’Active Directory

  • FrançaisFrançais



  • Microsoft a exhorté les organisations et les utilisateurs à corriger immédiatement deux vulnérabilités de sécurité liées à l’escalade des privilèges du service de domaine Active Directory. Suivi comme CVE-2021-42287 et CVE-2021-42278, ces vulnérabilités permettent aux acteurs malveillants de s’emparer des domaines Windows. Alors que le géant de la technologie a corrigé ces failles lors du Patch Tuesday de novembre 2021, un outil de preuve de concept exploitant les vulnérabilités a été rendu public.

    Microsoft a déclaré que des attaquants pourraient pénétrer un utilisateur d’administrateur de domaine dans un environnement Active Directory en combinant ces deux vulnérabilités. Les failles auraient permis aux pirates distants d’élever leur privilège à celui d’un administrateur de domaine une fois qu’ils ont compromis un utilisateur régulier du domaine.

    « Comme la mission de Defender for Identity est de sécuriser Active Directory et votre environnement contre les attaques de menaces d’identité avancées et sophistiquées, notre équipe de recherche a réagi rapidement et a publié une requête qui peut être utilisée pour identifier les comportements suspects en tirant parti de ces vulnérabilités. Cette requête peut aider à détecter les changements anormaux de nom de périphérique (ce qui devrait rarement arriver au début) et à les comparer à une liste de contrôleurs de domaine dans votre environnement », a déclaré Microsoft dans un avis.

    Cependant, les organisations et les utilisateurs recommandés par Microsoft corrigent les vulnérabilités en appliquant les mises à jour dès que possible pour éviter tout risque de sécurité.

    Trouver des appareils compromis

    Pour identifier si vos systèmes sont affectés en raison de ces vulnérabilités, Microsoft a recommandé ce qui suit :

    • La modification de sAMAccountName est basée sur l’événement 4662. Assurez-vous de l’activer sur le contrôleur de domaine pour intercepter de telles activités.
    • Ouvrez Microsoft 365 Defender et accédez à Advanced Hunting.
    • Copiez la requête suivante (qui est également disponible dans la requête Microsoft 365 Defender GitHub Advanced Hunting).
    • Remplacez la zone marquée par la convention de nommage de vos contrôleurs de domaine.
    • Exécutez la requête et analysez les résultats qui contiennent les appareils concernés. Vous pouvez utiliser l’événement Windows 4741 pour trouver le créateur de ces machines si elles venaient d’être créées.
    • Nous vous recommandons d’enquêter sur ces ordinateurs compromis et de déterminer qu’ils n’ont pas été transformés en armes.

    Mise à jour Microsoft de décembre 2021

    Microsoft a récemment publié des correctifs de sécurité pour 67 CVE dans sa mise à jour Patch Tuesday de décembre 2021. Sur 67 vulnérabilités, 60 ont été jugées importantes et sept critiques. Six vulnérabilités zero-day ont également été corrigées, étant exploitées à l’état sauvage. La mise à jour du Patch Tuesday de décembre 2021 a résolu les vulnérabilités affectant Microsoft Office, Microsoft PowerShell, le navigateur Edge basé sur Chromium, le noyau Windows, le spouleur d’impression et le client de bureau à distance.

    Source

    L'équipe de Comparaland

    Rédacteur web depuis 2009 et webmestre depuis 2011.

    Je m'intéresse à tous les sujets comme la politique, la culture, la géopolitique, l'économie ou la technologie. Toute information permettant d'éclairer mon esprit et donc, le vôtre, dans un monde obscur et à la dérive. Je suis l'auteur de plusieurs livre

    Pour me contacter personnellement :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *