윈도우 도메인을 탈취하는데 악용되는 활성 디렉토리 취약점 2건 패치돼

Patch these 2 Active Directory flaws to prevent the takeover of Windows domains

 

마이크로소프트가 2021년 12월 ‘패치 화요일’ 업데이트를 통해 공격자가 윈도우 도메인을 탈취하는데 사용할 수 있는 활성 디렉토리 취약점인 CVE-2021-42287, CVE-2021-42278을 수정했습니다.

 

이 취약점은 연결되어 악용될 경우 도메인 컨트롤러를 가장해 활성 디렉토리를 관리할 수 있는 권한을 얻도록 허용할 수 있습니다.

 

마이크로소프트는 현재 PoC 익스플로잇 코드가 공개되어 있기 때문에 고객에 두 가지 문제를 즉시 패치하도록 경고했습니다. 또한 고객이 두 취약점의 악용 시도를 탐지하는 데 도움이 되는 가이드를 공개했습니다.

 

마이크로소프트는 아래와 같이 설명했습니다.

 

"두 취약점 모두 ‘윈도우 활성 디렉터리 도메인 서비스 권한 상승 취약점'입니다. 몇 주 후인 2021년 12월 12일 이 취약점을 악용하는 PoC 툴이 공개되었습니다."

 

"공격자가 이 두 가지 취약점을 결합하여 악용할 경우 새 업데이트를 적용하지 않은 활성 디렉터리 환경의 도메인 관리자로 이어지는 직접적인 경로를 생성할 수 있습니다. 공격자는 이 권한 상승 공격을 통해 도메인의 일반 사용자를 먼저 해킹한 후 권한을 도메인 관리자의 권한으로 쉽게 승격할 수 있습니다."

 

CVE-2021-42278 취약점은 잠재적 공격자가 컴퓨터 계정 sAMAccountName 스푸핑을 사용하여 도메인 컨트롤러로 가장할 수 있는 보안 우회 이슈입니다.

 

전문가들은 sAMAccountName 속성의 이름이 보통 "$"로 끝난다고 지적했습니다. 여기서 "$"는 사용자 개체와 컴퓨터 개체를 구분하는 데 사용되었습니다.

 

기본 설정에서 일반 사용자는 시스템 계정(최대 시스템 10대)을 수정할 수 있는 권한이 있으며 소유자로서 sAMAccountName 속성을 편집할 수 있는 권한도 가지고 있습니다.

 

CVE-2021-42287로 등록된 두 번째 버그는 Kerberos PAC(Privilege Attribute Certificate)에 영향을 미치며 잠재적인 공격자가 도메인 컨트롤러로 가장하도록 허용하는 보안 우회 취약점입니다.

 

이 취약점으로 인해 KDC(Key Distribution Center)가 도메인 계정보다 높은 권한 수준으로 서비스 티켓을 생성할 수 있습니다.

 

“이 취약점을 악용하기 위해 해킹된 도메인 계정을 통해 KDC(Key Distribution Center)가 해킹된 계정보다 높은 수준의 권한으로 서비스 티켓을 생성할 수 있습니다. KDC가 더 높은 권한의 서비스 티켓이 어떤 계정을 위한 것인지 식별하지 못하도록 했기 때문에 가능합니다.”

 

전문가들은 도메인 사용자 크리덴셜을 가진 공격자가 위 취약점을 연결하여 도메인 관리자 권한을 얻을 수 있다고 설명했습니다.

 

마이크로소프트는 아래와 같이 결론을 지었습니다.

 

"항상 그렇듯, 가능한 한 빠른 시일 내 도메인 컨트롤러에 최신 패치를 적용할 것을 강력히 권고합니다."

 

 

 

 

출처:

https://securityaffairs.co/wordpress/125857/security/windows-active-directory-flaws.html

https://techcommunity.microsoft.com/t5/security-compliance-and-identity/sam-name-impersonation/ba-p/3042699