微软周一(12/20)警告,今年11月Patch Tuesday所修补的两个Windows Active Directory漏洞已出现概念性验证攻击程序,呼吁用户检查是否遭到入侵并尽快修补。
这两个漏洞分别是CVE-2021-42278与CVE-2021-42287,它们皆属于Active Directory域名服务的权限扩张漏洞,影响Windows Server产品,虽然皆只被列为重要(Important)漏洞,但其CVSS风险等级高达7.5分。
微软是在11月9日修补了这两个漏洞,但12月12日就出现了同时开采这两个漏洞的概念性验证程序。负责Defender for Identity的微软资深产品经理Daniel Naim指出,当这两个漏洞被结合时,黑客就能够创建一个直接路径至Active Directory环境的域名管理员(Active Directory)用户,轻松地把一般用户的权限提升为域名管理员。
为了应对潜在的攻击行动,Defender for Identity团队公布了一个查询指南以识别用户系统内部的可疑行为,判断相关漏洞是否已被开采,该查询指南将可侦测异常变更的设备名称,并将它们与用户环境中的域名控制器进行比对。
Naim建议尚未修补相关漏洞的用户,最好先检查是否已被开采之后再行修补。