Resumo
A CVE-2021-42278 aborda uma vulnerabilidade de segurança ignorada que permite aos potenciais atacantes fazerem-se passar por um controlador de domínio utilizando spoofing da conta de computador sAMAccountName.
Este artigo fornece detalhes adicionais e uma secção de perguntas mais frequentes para o Gestor de Contas de Segurança do Active Directory (SAM) para endurecer as alterações feitas pelas atualizações de Windows lançadas a 9 de novembro de 2021 e posteriores conforme documentado em CVE-2021-42278.
Verificações de validação do Active Directory
Após instalar o CVE-2021-42278,o Active Directory irá efetuar as inspeções de validação listadas abaixo nos atributos sAMAccountName e UserAccountControl de contas de computador criadas ou modificadas por utilizadores que não têm direitos de administrador para contas de computador.
-
validação sAMAccountType para contas de utilizador e computadores
-
ObjectClass=Computer (ou subclass of computer) tem de ter sinalizadores UserAccountControl de UF_WORKSTATION_TRUST_ACCOUNT ou UF_SERVER_TRUST_ACCOUNT
-
ObjectClass=User tem de ter sinalizadores UAC de UF_NORMAL_ACCOUNT ou UF_INTERDOMAIN_TRUST_ACCOUNT
-
-
validação sAMAccountName para contas de computador
O sAMAccountName de uma conta de computador cujo atributo UserAccountControl contém o sinalizador UF_WORKSTATION_TRUST_ACCOUNT tem de terminar com um único cifrão ($). Quando estas condições não são cumpridas, o Active Directory devolve o código de falha 0x523 ERROR_INVALID_ACCOUNTNAME. As validações falhadas são registradas no ID do evento Directory-Services-SAM 16991 no registo de eventos do Sistema.
Quando estas condições não são cumpridas, o Active Directory devolve um código de falha de ACCESS_DENIED. As validações falhadas são registradas no ID do evento Directory-Services-SAM 16990 no registo de eventos do Sistema.
Auditar eventos
Classe do objeto e Falha de validação de UserAccountControl
Quando a validação Object class e UserAccountControl falha, o seguinte evento será registrado no registo do Sistema:
|
Registo de Eventos |
Sistema |
|
Tipo de Evento |
Erro |
|
Origem do Evento |
Directory-Services-SAM |
|
ID de Evento |
16990 |
|
Texto do Evento |
O gestor de conta de segurança bloqueou a criação de uma conta do Active Directory neste domínio por um não administrador com sinalizadores de tipo de conta UserAccountControl eClass e userAccountControl. Detalhes: Nome de conta: %1%n Objeto de contaClass: %2%n userAccountControl: %3%n Endereço do chamador: %4%n SID do Chamador: %5%n%n |
Falha na validação do Nome da Conta SAM
Quando a validação do Nome de Conta SAM falhar, o seguinte evento será registrado no registo do Sistema:
|
Registo de Eventos |
Sistema |
|
Tipo de Evento |
Erro |
|
Origem do Evento |
Directory-Services-SAM |
|
ID de Evento |
16991 |
|
Texto do Evento |
O gestor de conta de segurança bloqueou a criação ou o nome de uma conta de computador por parte de um não administrador através de um sAMAccountName inválido. O sAMAccountName nas contas do computador tem de terminar com um único sinal $ à saída. Attempted sAMAccountName: %1 SAMAccountName recomendado: %1$ |
Eventos de auditoria da criação de contas de computador com êxito
Os seguintes eventos de auditoria existentes estão disponíveis para criação de conta de computador com êxito:
-
4741(S): foi criada uma conta de computador
-
4742(S): foi alterada uma conta de computador
-
4743(S): uma conta de computador foi eliminada
Para obter mais informações, consulte Gestão de Conta do Computador de Auditoria.
Perguntas mais frequentes
T1. Como é que esta atualização afeta os objetos existentes no Active Directory?
A1. Para objetos existentes, a validação ocorre quando os utilizadores que não têm direitos de administrador modificam os atributos sAMAccountName ou UserAccountControl.
T2. O que é uma sAMAccountName?
A2. sAMAccountName é um atributo exclusivo em todos os principais de segurança no Active Directory e inclui utilizadores, grupos e computadores. Os constrangimentos de nome para sAMAccountName estão documentados em 3.1.1.6 Attribute Constraints for Origining Updates.
T3. O que é uma sAMAccountType?
A3. Para obter mais informações, leia os seguintes documentos:
Existem três valores sAMAccountType possíveis que correspondem a quatro sinalizadores possíveis de UserAccountcontrol da seguinte forma:
|
userAccountControl |
sAMAccountType |
|---|---|
|
UF_NORMAL_ACCOUNT |
SAM_USER_OBJECT |
|
UF_INTERDOMAIN_TRUST_ACCOUNT |
SAM_TRUST_ACCOUNT |
|
UF_WORKSTATION_TRUST_ACCOUNT |
SAM_MACHINE_ACCOUNT |
|
UF_SERVER_TRUST_ACCOUNT |
SAM_MACHINE_ACCOUNT |
T4. Quais são os valores possíveis para UserAccountControl?
A4. Para obter mais informações, leia os seguintes documentos:
T5. Como posso encontrar objetos que já existem no meu ambiente?
A5. Os administradores podem procurar no seu diretório contas existentes que não estão em compatibilidade com um script do PowerShell, como nos exemplos abaixo.
Para encontrar contas de computador que tenham uma sAMAccountName não compatível:
|
Get-ADComputer -LDAPFilter "(samAccountName=*)" |? SamAccountName -NotLike "*$" | select DNSHostName, Name, SamAccountName |
Para encontrar contas de computador que tenham uma UserAccountControl sAMAccountType não compatível:
|
Get-ADComputer -LDAPFilter "UserAccountControl:1.2.840.113556.1.4.803:=512” |
