Vous voudrez peut-être savoir que la société de technologie de Redmond a publié un avis concernant certaines vulnérabilités qu’elle a déjà corrigées mais qu’elle exploite maintenant dans des configurations qui n’ont pas encore été mises à jour.
Il y a un peu plus d’une semaine, le 12 décembre, un outil de preuve de concept exploitant ces vulnérabilités a été rendu public.
Microsoft met en garde ses utilisateurs contre de nouveaux exploits
Comme vous vous en souvenez peut-être, lors du cycle de mise à jour de sécurité de novembre, Microsoft a publié un correctif pour deux nouvelles vulnérabilités, CVE-2021-42287 et CVE-2021-42278.
Ces deux vulnérabilités sont décrites comme une vulnérabilité d’élévation des privilèges du service de domaine Windows Active Directory.
Ces exploits permettent effectivement à des tiers malveillants d’obtenir facilement des droits d’administrateur de domaine dans Active Directory après qu’un compte d’utilisateur standard a été compromis.
Les responsables de Redmond ont publié trois correctifs pour un déploiement immédiat sur les contrôleurs de domaine, à savoir :
- KB5008102 – Modifications du renforcement du gestionnaire de comptes de sécurité Active Directory (CVE-2021-42278).
- KB5008380 – Mises à jour d’authentification (CVE-2021-42287).
- KB5008602 (OS Build 17763.2305) Hors bande
Mais même si les correctifs susmentionnés sont effectivement disponibles depuis un certain temps, le problème est que l’outil de preuve de concept exploitant ces vulnérabilités n’a été rendu public que le 12 décembre.
L’équipe de recherche de Microsoft a répondu rapidement et a publié une requête qui peut être utilisée pour identifier les comportements suspects qui exploitent ces vulnérabilités.
Cette requête peut vous aider à détecter les changements de nom de périphérique anormaux (ce qui devrait rarement se produire) et à les comparer à la liste des contrôleurs de domaine de votre environnement.
Assurez-vous de lire attentivement tous les détails si vous pensez que vous êtes également victime des situations ci-dessus.
Vous pensez que des intrus utilisaient votre système ? Partagez votre opinion avec nous dans la section commentaires ci-dessous.
Laisser un commentaire