安全通告
|
|
Active Directory Domain Services 权限提升漏洞 |
||
|
公开时间 |
2022-05-11 |
更新时间 |
2022-05-13 |
|
CVE编号 |
CVE-2022-26923 |
其他编号 |
QVD-2022-6697 |
|
威胁类型 |
权限提升 |
技术类型 |
权限、特权和访问控制不正确 |
|
厂商 |
Microsoft |
产品 |
Active Directory |
|
风险等级 |
|||
|
奇安信CERT风险评级 |
风险等级 |
||
|
高危 |
蓝色(一般事件) |
||
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
漏洞描述 |
Active Directory Domain Services存在权限提升漏洞,该漏洞允许具有域内普通用户权限的攻击者在安装了 Active Directory 证书服务 (AD CS) 服务器角色的默认 Active Directory 环境中将权限提升到域管理员权限。攻击者在获取到了低权限账户可以创建机器账户,由于Windows并未对机器账户的dNSHostName属性做唯一性判断,导致攻击者可以修改该机器账户的dNSHostName属性与域控的dNSHostName属性一致,并向证书服务请求颁发证书,证书服务会向攻击者颁发证书,该证书关联于域管理员身份,攻击者通过该证书向域控发起基于证书的身份验证即可获取到域管理员的身份权限。 |
||
|
影响版本 |
Windows Server 2012 R2 (Server Core installation) |
||
|
不受影响版本 |
无 |
||
|
其他受影响组件 |
无 |
||
奇安信CERT已成功复现Active Directory Domain Services 权限提升漏洞 (CVE-2022-26923),截图如下:
|
漏洞名称 |
Active Directory Domain Services 权限提升漏洞 |
|||
|
CVE编号 |
CVE-2022-26923 |
其他编号 |
QVD-2022-6697 |
|
|
CVSS 3.1评级 |
高危 |
CVSS 3.1分数 |
8.8 |
|
|
CVSS向量 |
访问途径(AV) |
攻击复杂度(AC) |
||
|
网络 |
低 |
|||
|
所需权限(PR) |
用户交互(UI) |
|||
|
低权限 |
不需要 |
|||
|
影响范围(S) |
机密性影响(C) |
|||
|
不改变 |
高 |
|||
|
完整性影响(I) |
可用性影响(A) |
|||
|
高 |
高 |
|||
|
危害描述 |
由于Windows并未对dNSHostName做唯一性判断,攻击者获取到域内低权限账户后可以利用该漏洞向证书服务请求颁发和其他账户关联的证书,并向域控发起身份验证,从而获取到域管理员权限,通过域管理员权限可以控制域里面的所有机器。 |
|||
安装补丁,补丁链接 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26923
奇安信网神网络数据传感器系统产品检测方案
奇安信网神网络数据传感器(NDS5000/7000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:7383,建议用户尽快升级检测规则库至2204222340以后版本并启用该检测规则。
奇安信天眼检测方案
奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击,请将规则版本升级到3.0.0513.13339或以上版本。规则ID及规则名称:0x5e68,Active Directory 域权限提升漏洞(CVE-2022-26963)。奇安信天眼流量探针规则升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。
[1]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26923
[2]https://research.ifcr.dk/certifried-active-directory-domain-privilege-escalation-cve-2022-26923-9e098fe298f4
2022年5月13日,奇安信CERT发布安全风险通告。
原文始发于微信公众号(奇安信 CERT):Active Directory Domain Services权限提升漏洞 (CVE-2022-26923) 安全风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论