Buletinul CVE-2021-42287 adresează o vulnerabilitate critică în Kerberos Privilege Attribute Certificate (PAC) și permite unui atacator să impersoneze servere de control de domeniu (domain controller) prin crearea de catre Key Distribution Center a unui tichet de service cu un nivel de privilegiu superior față de cel al contului de domeniu compromis de pe care s-a initiat cererea, permițând astfel preluarea controlului asupra domeniului prin impersonarea administratorului.
Remediere
Recomandăm aplicarea urgentă a patch-urilor de securitate emise de Microsoft în luna decembrie, în special pentru că am observat în mod activ (in the wild) exploatarea acestor vulnerabilități, ca urmare a exploatării cu succes a vulnerabilității Log4j.
După instalarea actualizărilor Windows din 9 noiembrie 2021 sau mai târziu, PAC-urile vor fi adăugate la TGT pentru toate conturile de domeniu, chiar și cele care au ales anterior să refuze PAC-urile.
Pentru a vă proteja mediul și pentru a evita întreruperile, vă rugăm să completați următorii pași:
- Actualizați toate dispozitivele care găzduiesc rolul de controler de domeniu Active Directory prin aplicarea update-ului din 9 noiembrie 2021.
- După instalarea acestei actualizări pe toate controlerele de domeniu Active Directory timp de cel puțin 7 zile, vă sugerăm cu tărie să activați modul Enforcement pe toate controlerele de domeniu Active Directory.
- Microsoft anunță că, începând cu update-ul Enforcement Phase din 12 iulie 2022, modul de aplicare va fi activat pe toate controlerele de domeniu Windows și va fi necesar.
