The estimated reading time 1 minutes
Hallo zusammen,
ich dachte schon ich kann in meinem verdienten Weihnachtsurlaub gehen, da werden wieder neue Bugs im Microsoft Active Directory bekannt. Genauer gesagt sind es sogar zwei Stück, einmal CVE-2021-42287 und eine weitere CVE-2021-42278.
Hinter CVE-2021-42278 verbirgt sich die sAMAccountName impersonation oder auch sAMAccountName spoofing. Hierbei lassen sich durch Umbenennung DomainController Konten imitieren.
Siehe Link:
https://www.thehacker.recipes/ad/movement/kerberos/samaccountname-spoofing
Auch die zweite Sicherheitslücke nimmt sich den sAMAccountName vor und versucht an das Service Ticket zu kommen.
Siehe Link:
https://exploit.ph/cve-2021-42287-cve-2021-42278-weaponisation.html
Weitere Infos aus der Techcommunity finden sich hier:
https://techcommunity.microsoft.com/t5/security-compliance-and-identity/sam-name-impersonation/ba-p/3042699
Durch beide Attacken können relativ leicht Administrative Rechte in der Domäne abgegriffen/ erreicht werden.
Abhilfe schafft hier Patch KB5008602 vom 14. November 2021 enthalten, siehe auch weitere KBs mit folgenden Links:
Wer also immer noch nicht die Updates von November 2021 installiert hat, direkt installiere, da sonst das Active Directory gefährdet ist und die Bugs ausgenutzt werden können.
