9 ноября 2021 года были выявлены 2 уязвимости: CVE-2021-42278 и CVE-2021-42287, а 12 декабря опубликована схема взлома. Эти уязвимости в связке позволяют перехватить роль домен-контроллера и получить полный контроль над доменом. 20 декабря Microsoft выпустила алгоритм по нахождению скомпрометированных компьютеров.
Первая уязвимость CVE-2021-42278. С ее помощью можно обойти механизмы Active Directory. Оказывается, они не проверяют наличие символа $ в конце доменного имени компьютера, хотя все ПК-имена оканчиваются им. Поэтому если у обычного пользователя есть квота на добавление компьютеров (по умолчанию их стоит 10) то он может добавить ПК в домен.
Вторая уязвимость CVE-2021-42287. Когда доменный компьютер при выполнении аутентификации с использованием Kerberos через Key Distribution Center (KDC), запрашивает тикет Ticket-Granting-Ticket (TGS), контроллер сначала смотрит в предоставленный клиентом TGT. В случае если KDC не обнаруживает среди объектов домена объекта c указанным именем ПК в TGT, контроллер просто добавляет $ к этому имени и шифрует отправляемый TGS с использованием ключа объекта «имя$».
И вот тут возникает эта самая проблема. Злоумышленник меняет имя компьютера на имя контроллера домена, запрашивает TGT, возвращает старое имя компьютера, а с использованием полученного TGT спрашивает уже TGS на нужную службу (LDAP или еще что-то). И вот у него уже доступ к домену. Более подробно о реализации атаки можно прочитать тут.
К счастью, справиться с проблемой можно, отключив у пользователя возможность на добавление компьютеров в домен. Но если этого не было сделано Microsoft опубликовала алгоритм по нахождению скомпрометированных компьютеров.
