Vulnérabilités dans Active Directory de Microsoft
Date de publication :
Microsoft incite urgemment à appliquer la mise à jour automatique pour corriger deux vulnérabilités présentes dans Active Directory du système d’exploitation Windows. Ces failles furent initialement présentées le 10 novembre 2021 lors de la publication du Patch Tuesday, les détails sont disponibles ici. L’appellation originale de la CVE-2021-42278 est « SAM Name impersonation ». L’appellation originale de la CVE-2021-42287 est « KDC bamboozling ».
CVE-2021-42278[Score CVSS v3.1: 7.5]
Active Directory est une organisation hiérarchisée d'objets dans le système d’exploitation Windows. Il existe différentes nominations pour désigner les objets, par exemple userPrincipalName (UPN) et sAMAccountName (SAM-Account).Plus précisément, SAM-Account utilise l’attribution « $ » pour spécifier s’il s’agit d’un objet de l’utilisateur ou de l’ordinateur. Il n’existe aucune restriction à propos de cet attribut. Dans le cas d’une configuration par défaut (sans le correctif), un simple utilisateur peut modifier plusieurs comptes d’ordinateurs et ainsi ajouter l’attribution « $ » comme il le souhaite.
Un attaquant peut exploiter cette vulnérabilité pour usurper des comptes SAM. Pour étendre le spectre de ses actions hostiles, l’attaquant peut combiner ce premier exploit avec la vulnérabilité suivante.
CVE-2021-42287[Score CVSS v3.1: 7.5]
Kerberos est un protocole d’authentification utilisé pour gérer des tickets et des clés secrètes. Lors d’un processus d’authentification, le centre de distribution des clés Kerberos (KDC) fait appel à deux utilitaires : Ticket-Granting-Ticket (TGT) et Tiket-Granting-Service (TGS). Si aucun compte n’est trouvé lorsque le service TGS est appelé, le centre de distribution des clés va tenter de retrouver le compte en cherchant celui-ci avec l’attribut « $ ».
Exemple : s’il existe un compte SAM légitime, nommé DC1$, un attaquant peut tromper le centre de distribution des clés Kerberos. Pour cela, l’attaquant créé un compte machine nommé DC1, il fait appel au TGT (recevoir un ticket de demande d’accès) et change le nom du compte machine. Enfin, il fait appel au TGS pour recevoir un ticket d’accès en présentant son ticket TGT (le ticket de demande d’accès reçu). Le centre de distribution des clés va traiter la requête en cherchant le compte machine DC1. Puisque le centre ne trouve pas ce compte, il va relancer une recherche avec la présence de l’attribut « $ ». Lorsque le Centre parvient à trouver DC1$, il remet à l’attaquant un ticket avec les privilèges complets de DC1$.
La combinaison des deux vulnérabilités, usurper les comptes SAM et tromper le protocole d’authentification Kerberos, permet à un attaquant d’élever ses privilèges et d’exécuter du code arbitraire sur le système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Élévation de privilège
- Exécution de code arbitraire
- Contournement de la politique de sécurité
Criticité
- Score CVSS v3.1: 7.5 max
La faille est activement exploitée
- Non pour l’ensemble des CVE présentés
Un correctif existe
- Ouipour l’ensemble des CVE présentés
Une mesure de contournement existe
- Non pour l’ensemble des CVE présentés
Les vulnérabilités exploitées sont du type
- CWE-269 : Improper Privilege Management
Détails sur l’exploitation
Pour l’ensemble des CVE présentés
- Vecteur d’attaque : Réseau
- Complexité de l’attaque : Haute
- Privilèges nécessaires pour réaliser l’attaque : Faible
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Composants vulnérables.
Pour la CVE-2021-42278
- Microsoft Windows Server 2012
- Microsoft Windows Server 2012 R2
- Microsoft Windows Server 2016
- Microsoft Windows Server 2019
- Microsoft Windows Server (Server Core installation) 2019
- Microsoft Windows Server (Server Core installation) 2004
- Microsoft Windows Server (Server Core installation) 20H2
- Microsoft Windows Server (Server Core installation) 2016
- Microsoft Windows Server (Server Core installation) 2012 R2
- Microsoft Windows Server (Server Core installation) 2012
- Microsoft Windows Server for X64-based systems 2008 R2 SP1
- Microsoft Windows Server for X64-based systems (Server Core installation) 2008 SP2
- Microsoft Windows Server for 32-bit systems (Server Core installation) 2008 SP2
- Microsoft Windows Server for 32-bit systems 2008 SP2
- Microsoft Windows Server for X64-based systems (Server Core installation) 2008 R2 SP1
- Microsoft Windows Server 2022
- Microsoft Windows Server (Server Core installation) 2022
- Microsoft Windows Server for X64-based systems 2008 SP2
Pour la CVE-2021-42287
- Microsoft Windows Server 2008 SP2 x32
- Microsoft Windows Server 2008 SP2 x64
- Microsoft Windows Server 2012
- Microsoft Windows Server 2012 R2
- Microsoft Windows Server 2016
- Microsoft Windows Server 2019
- Microsoft Windows Server version 2004
- Microsoft Windows Server version 20H2
- Microsoft Windows Server (Server Core installation) 2019
- Microsoft Windows Server (Server Core installation) 2004
- Microsoft Windows Server (Server Core installation) 20H2
- Microsoft Windows Server (Server Core installation) 2016
- Microsoft Windows Server (Server Core installation) 2012 R2
- Microsoft Windows Server (Server Core installation) 2012
- Microsoft Windows Server for X64-based systems 2008 R2 SP1
- Microsoft Windows Server for X64-based systems (Server Core installation) 2008 SP2
- Microsoft Windows Server for 32-bit systems (Server Core installation) 2008 SP2
- Microsoft Windows Server for X64-based systems (Server Core installation) 2008 R2 SP1
- Microsoft Windows Server 2022
- Microsoft Windows Server (Server Core installation) 2022
Solutions ou recommandations
- Appliquer la mise à jour automatique de Microsoft Windows.
- Un guide détaillé de la vulnérabilité et sur les correctifs publiés est disponible ici
- Un correctif spécifique pour la CVE-2021-42278 existe, il est disponible ici.
- Un correctif spécifique pour la CVE-2021-42287 existe, il est disponible ici.