Vulnerabilidad de escalamiento de privilegios del servicio de dominio de Windows Active Directory

Se tienen dos vulnerabilidades bajo los identificadores CVE-2021-42278, CVE-2021-42287 ambas con un indicador CVSS de 8.8 considerado crítico, las cuales están asociadas a una falla de escalamiento de privilegios que afectan a Active Directory Domain Services (AD DS, de Microsoft). Active Directory se ejecuta en Microsoft Windows Server y se utiliza para la gestión de identidades y accesos.

CVE-2021-42278 permite a un atacante manipular el atributo SAM-Account-Name, que se utiliza para iniciar sesión a un usuario en en Active Directory Domain Services.

CVE-2021-42287 permite hacerse pasar por los controladores de dominio.

Una vez que el atacante compromete a un usuario habitual, al combinar estas dos vulnerabilidades, un atacante con credenciales de «usuario de dominio» obtendría acceso como usuario «administrador de dominio», que no ha aplicado las nuevas actualizaciones.

CVE-2021-42278 – Suplantación de sAMAccountName (SAM-Account)
URL: https://techcommunity.microsoft.com/t5/security-compliance-and-identity/sam-name-impersonation/ba-p/3042699

Estas vulnerabilidades fueron anunciadas en noviembre y Microsoft compartió los parches, estos se encuentran para los siguientes productos afectados:

  • Windows Server 2008 R2 para sistemas basados ​​en x64 Service Pack 1
  • Windows Server 2008 R2 para sistemas basados ​​en x64 Service Pack 1 (instalación Server Core)
  • Windows Server 2008 para sistemas de 32 bits Service Pack 2
  • Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalación Server Core)
  • Windows Server 2008 para sistemas basados ​​en x64 Service Pack 2
  • Windows Server 2008 para sistemas basados ​​en x64 Service Pack 2 (instalación Server Core)
  • Windows Server 2012
  • Windows Server 2012 (instalación Server Core)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (instalación Server Core)
  • Windows Server 2016
  • Windows Server 2016 (instalación Server Core)
  • Windows Server 2019
  • Windows Server 2019 (instalación Server Core)
  • Windows Server 2022
  • Windows Server 2022 (instalación Server Core)
  • Windows Server, versión 2004 (instalación Server Core)
  • Windows Server, versión 20H2 (instalación de Server Core)

El inconveniente radica que desde el 12 de diciembre se publicó una herramienta de prueba de concepto que explota estas vulnerabilidades, la misma que puede ser usada por los atacantes.

Microsoft recomienda, que se haga las actualizaciones en los equipos de manera inmediata, con los KB (Microsoft Knowledge Base) que se encuentran en los siguientes enlaces:

Adicional en la comunidad de Microsoft, se da una «Guía paso a paso para identificar equipos potencialmente comprometidos mediante consulta de búsqueda avanzada«.

Más información:

  • https://techcommunity.microsoft.com/t5/security-compliance-and-identity/sam-name-impersonation/ba-p/3042699
  • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42278
  • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42287
  • https://threatpost.com/active-directory-bugs-windows-domain-takeover/177185/