Potresti voler sapere che la società tecnologica di Redmond ha rilasciato un avviso di alcune vulnerabilità che ha già corretto ma che ora sta sfruttando in configurazioni che non sono ancora state aggiornate.
Poco più di una settimana fa, il 12 dicembre, è stato divulgato pubblicamente uno strumento di prova che sfrutta queste vulnerabilità.
Microsoft emette un avviso ai suoi utenti sui nuovi exploit
Come ricorderete, durante il ciclo di aggiornamento della sicurezza di novembre, Microsoft ha rilasciato una patch per due nuove vulnerabilità, CVE-2021-42287 e CVE-2021-42278.
Entrambe queste vulnerabilità sono descritte come vulnerabilità di elevazione dei privilegi del servizio di dominio Active Directory di Windows.
Questi exploit consentono effettivamente a terzi malintenzionati di ottenere facilmente i diritti di amministratore di dominio in Active Directory dopo che un account utente standard è stato compromesso.
I funzionari di Redmond hanno rilasciato tre correzioni per la distribuzione immediata ai controller di dominio, vale a dire:
- KB5008102 – Modifiche alla protezione avanzata di Active Directory Security Accounts Manager (CVE-2021-42278).
- KB5008380 – Aggiornamenti di autenticazione (CVE-2021-42287).
- KB5008602 (build del sistema operativo 17763.2305) Fuori banda
Ma anche se le suddette correzioni sono effettivamente disponibili da un po’, il problema è che lo strumento di prova che sfrutta queste vulnerabilità non è stato divulgato pubblicamente fino al 12 dicembre.
Il team di ricerca di Microsoft ha risposto rapidamente e ha pubblicato una query che può essere utilizzata per identificare comportamenti sospetti che sfruttano queste vulnerabilità.
Questa query può aiutarti a rilevare modifiche anomale del nome del dispositivo (che dovrebbero verificarsi raramente) e confrontarle con l’elenco dei controller di dominio nel tuo ambiente.
Assicurati di leggere attentamente tutti i dettagli se sospetti di essere anche vittima delle situazioni di cui sopra.
Sospetti che gli intrusi stessero usando il tuo sistema? Condividi la tua opinione con noi nella sezione commenti qui sotto.
Lascia un commento