Résumé
CVE-2021-42278 adresse une faille de dérivation de sécurité qui permet aux utilisateurs malveillants potentiels d’usurper l’identité d’un contrôleur de domaine à l’aide d’une usurpation d’identité de compte d’ordinateur.
Cet article fournit des informations supplémentaires et une section des questions fréquemment posées pour le Gestionnaire de comptes de sécurité Active Directory (SAM) au cours des modifications apportées par les mises à jour Windows publiées le 9 novembre 2021 et les ultérieures, comme indiqué dans le document CVE-2021-42278.
Tests de validation Active Directory
Après avoir installé CVE-2021-42278,Active Directory effectue les inspections de validation répertoriées ci-dessous sur les attributs sAMAccountName et UserAccountControl des comptes d’ordinateurs créés ou modifiés par des utilisateurs qui n’ont pas de droits d’administrateur pour les comptes d’ordinateurs.
-
Validation sAMAccountType pour les comptes d’utilisateurs et d’ordinateurs
-
ObjectClass=Ordinateur (ou sous-classe d’ordinateurs) doit avoir des indicateurs UserAccountControl UF_WORKSTATION_TRUST_ACCOUNT ou UF_SERVER_TRUST_ACCOUNT
-
ObjectClass=User doit avoir des indicateurs UAC UF_NORMAL_ACCOUNT ou UF_INTERDOMAIN_TRUST_ACCOUNT
-
-
validation sAMAccountName pour les comptes d’ordinateurs
Le nom sAMAccountName d’un compte d’ordinateur dont l’attribut UserAccountControl contient l’indicateur UF_WORKSTATION_TRUST_ACCOUNT doit se terminer par un seul signe dollar ($). Lorsque ces conditions ne sont pas remplies, Active Directory renvoie le code de défaillance 0x523 ERROR_INVALID_ACCOUNTNAME. Les validations échouées sont enregistrées dans l’ID d’événement Directory-Services-SAM 16991 dans le journal des événements système.
Lorsque ces conditions ne sont pas remplies, Active Directory renvoie un code de défaillance de ACCESS_DENIED. Les validations échouées sont enregistrées dans l’ID d’événement Directory-Services-SAM 16990 dans le journal des événements système.
Audit d’événements
Échec de validation de classe Objet et UserAccountControl
En cas d’échec de la classe objet et de la validation UserAccountControl, l’événement suivant est enregistré dans le journal système :
|
Journal des événements |
Système |
|
Type d’événement |
Erreur |
|
Origine de l’événement |
Directory-Services-SAM |
|
ID d’événement |
16990 |
|
Texte de l’événement |
Le gestionnaire de compte de sécurité a bloqué la création d’un compte Active Directory par un non-administrateur dans ce domaine avec des indicateurs de type de compte ObjectClass et userAccountControl non mis en rapport. Détails : Nom du compte : %1%n Account objectClass: %2%n userAccountControl : %3%n Adresse de l’appelant : %4%n Caller SID: %5%n%n |
Échec de validation de nom de compte SAM
En cas d’échec de la validation du nom de compte SAM, l’événement suivant est enregistré dans le journal système :
|
Journal des événements |
Système |
|
Type d’événement |
Erreur |
|
Origine de l’événement |
Directory-Services-SAM |
|
ID d’événement |
16991 |
|
Texte de l’événement |
Le gestionnaire de compte de sécurité a bloqué la création ou le changement de nom d’un compte d’ordinateur par un non-administrateur à l’aide d’un nom de compte sAMAccountName non valide. sAMAccountName sur les comptes d’ordinateurs doit se terminer par un seul signe $ de fin. Tentative sAMAccountName : %1 SAMAccountName recommandé : %1$ |
Événements d’audit de création de comptes d’ordinateurs réussis
Les événements d’audit existants suivants sont disponibles pour la création réussie d’un compte d’ordinateur :
-
4741(S) : un compte d’ordinateur a été créé
-
4742(S) : un compte d’ordinateur a été modifié
-
4743(S) : un compte d’ordinateur a été supprimé
Pour plus d’informations, voir Audit de la gestion des comptes d’ordinateurs.
Forum Aux Questions
T1. En quoi cette mise à jour affecte-t-elle les objets existants dans Active Directory ?
A1. Pour les objets existants, la validation se produit lorsque des utilisateurs qui ne ont pas de droits d’administrateur modifient les attributs sAMAccountName ou UserAccountControl.
T2. Qu’est-ce qu’un sAMAccountName ?
A2. sAMAccountName est un attribut unique sur tous les principaux de sécurité dans Active Directory et inclut les utilisateurs, groupes et ordinateurs. Les contraintes de nom pour sAMAccountName sont documentées dans les contraintes d’attribut 3.1.1.6pour les mises à jour d’origine.
T3. Qu’est-ce qu’un sAMAccountType ?
A3. Pour plus d’informations, consultez les documents suivants :
Trois valeurs sAMAccountType peuvent correspondre à quatre indicateurs UserAccountcontrol possibles comme suit :
|
userAccountControl |
sAMAccountType |
|---|---|
|
UF_NORMAL_ACCOUNT |
SAM_USER_OBJECT |
|
UF_INTERDOMAIN_TRUST_ACCOUNT |
SAM_TRUST_ACCOUNT |
|
UF_WORKSTATION_TRUST_ACCOUNT |
SAM_MACHINE_ACCOUNT |
|
UF_SERVER_TRUST_ACCOUNT |
SAM_MACHINE_ACCOUNT |
T4. Quelles sont les valeurs possibles pour UserAccountControl ?
A4. Pour plus d’informations, consultez les documents suivants :
Q5. Comment trouver des objets non conformes qui existent déjà dans mon environnement ?
A5. Les administrateurs peuvent rechercher des comptes non conformes dans leur annuaire à l’aide d’un script PowerShell comme dans l’exemple ci-dessous.
Pour rechercher des comptes d’ordinateurs dont le nom n’est pas compatible sAMAccountName:
|
Get-ADComputer -LDAPFilter "(samAccountName=*)" |? SamAccountName -NotLike "*$" | select DNSHostName, Name, SamAccountName |
Pour rechercher des comptes d’ordinateurs dont le sAMAccountType UserAccountControl n’est pas conforme :
|
Get-ADComputer -LDAPFilter "UserAccountControl:1.2.840.113556.1.4.803:=512” |
