July 2021 Archives

HiveNightmare

gamzatti
Vote 0 Votes

また出ました。CVE-2021-36934特権昇格の脆弱性について。

ローカルの特権昇格なので、PrintNightmare程の脅威度はないと思いますが、

非特権ユーザ権限を得た攻撃者が、特権でクレデンシャルのダンプをできるようになります。

動作する攻撃コードも出ているので注意が必要です。

1809以降のwindows10で、1つ以上の有効なシャドウコピーが作成されている時に影響を受けます。

ただ、他にも攻撃が成立する条件があるかもしれなくて、今調査中です。

まだ試せてないのですが、2019も影響を受けるようです。

解説記事はこちらが詳しいです。

回避策などの検証はまだできていないので、後ほど。

今までずっと温めてきたActive Directoryのセキュリティサービスをやっとリリースすることができました!

NEC Active Directory セキュリティリスク診断サービス

このサービスは、色んな方のノウハウや協力があってこそ、実現できたと思います。ご協力いただいた皆様に感謝します。

関連して、ADセキュリティに関するコラムも公開しましたので、ご興味ある方はご一読ください。

つい最近、PrintNightmare が公開されたばかりで、これからもADを狙う攻撃は継続的に出てくると思います。

本サービス含め、Active Directoryセキュリティの向上に貢献できれば嬉しいです。

今後は、Azure ADのセキュリティも勉強していきたいと思います。

PrintNightmare

gamzatti
Vote 0 Votes

最近、管理業務に忙殺され、技術に全くキャッチアップできていなかったのですが、
先日、研究仲間からヤバイの出てるよと教えてもらい、久しぶりに検証しました^^;
あまり時間がなかったので、先にexploitを成功させていた研究仲間に教えてもらった手順通りに試しましたが、
以下の前提のもとで確かにリモートコード実行できます。

・攻撃者が対象サーバとネットワーク的に疎通できる環境に侵入していること
 (攻撃パケットはSMBで対象サーバの445ポート宛に行われる)

・攻撃者がターゲットコンピュータの一般ユーザ(ADサーバの場合はドメインユーザ)のID/Passを窃取していること

ADサーバだけでなく、クライアントPCなども攻撃可能なのでご注意ください。

以下の回避策が有効であることも確認しました。

・Print Spoolerサービスの停止
・グループポリシーで「印刷スプーラーがクライアント接続を受け入れるのを許可する」を無効化(ADサーバのみ確認)

zerologonと言い、なんか最近やばいwindowsの脆弱性が多いように思います。。

About this Archive

This page is an archive of entries from July 2021 listed from newest to oldest.

May 2021 is the previous archive.

August 2021 is the next archive.

Find recent content on the main index or look in the archives to find all content.