また出ました。CVE-2021-36934特権昇格の脆弱性について。
ローカルの特権昇格なので、PrintNightmare程の脅威度はないと思いますが、
非特権ユーザ権限を得た攻撃者が、特権でクレデンシャルのダンプをできるようになります。
動作する攻撃コードも出ているので注意が必要です。
1809以降のwindows10で、1つ以上の有効なシャドウコピーが作成されている時に影響を受けます。
ただ、他にも攻撃が成立する条件があるかもしれなくて、今調査中です。
まだ試せてないのですが、2019も影響を受けるようです。
解説記事はこちらが詳しいです。
回避策などの検証はまだできていないので、後ほど。
今までずっと温めてきたActive Directoryのセキュリティサービスをやっとリリースすることができました!
NEC Active Directory セキュリティリスク診断サービス
このサービスは、色んな方のノウハウや協力があってこそ、実現できたと思います。ご協力いただいた皆様に感謝します。
関連して、ADセキュリティに関するコラムも公開しましたので、ご興味ある方はご一読ください。
つい最近、PrintNightmare が公開されたばかりで、これからもADを狙う攻撃は継続的に出てくると思います。
本サービス含め、Active Directoryセキュリティの向上に貢献できれば嬉しいです。
今後は、Azure ADのセキュリティも勉強していきたいと思います。
最近、管理業務に忙殺され、技術に全くキャッチアップできていなかったのですが、
先日、研究仲間からヤバイの出てるよと教えてもらい、久しぶりに検証しました^^;
あまり時間がなかったので、先にexploitを成功させていた研究仲間に教えてもらった手順通りに試しましたが、
以下の前提のもとで確かにリモートコード実行できます。
・攻撃者が対象サーバとネットワーク的に疎通できる環境に侵入していること
(攻撃パケットはSMBで対象サーバの445ポート宛に行われる)
・攻撃者がターゲットコンピュータの一般ユーザ(ADサーバの場合はドメインユーザ)のID/Passを窃取していること
ADサーバだけでなく、クライアントPCなども攻撃可能なのでご注意ください。
以下の回避策が有効であることも確認しました。
・Print Spoolerサービスの停止
・グループポリシーで「印刷スプーラーがクライアント接続を受け入れるのを許可する」を無効化(ADサーバのみ確認)
zerologonと言い、なんか最近やばいwindowsの脆弱性が多いように思います。。
