Rezumat
CVE-2021-42278 se referă la o vulnerabilitate de ocolire de securitate care permite potențialelor atacuri să substituie identitatea unui controler de domeniu utilizând falsificarea sAMAccountName a contului de computer.
Acest articol furnizează detalii suplimentare și o secțiune de întrebări frecvente pentru Active Directory Security Accounts Manager (SAM) care înlesnesc modificările efectuate de actualizările Windows lansate la 9 noiembrie 2021 și mai recente, după cum sunt documentate în CVE-2021-42278.
Verificări de validare Active Directory
După instalarea CVE-2021-42278,Active Directory va efectua controalele de validare listate mai jos în atributele sAMAccountName și UserAccountControl ale conturilor de computer create sau modificate de utilizatorii care nu au drepturi de administrator pentru conturile de mașină.
-
sAMAccountType validation for user and computer accounts
-
ObjectClass=Computer (sau subclasa de computer) conturile trebuie să aibă Semnalizări UserAccountControl de UF_WORKSTATION_TRUST_ACCOUNT sau UF_SERVER_TRUST_ACCOUNT
-
ObjectClass=User trebuie să aibă semnalizări UAC de UF_NORMAL_ACCOUNT sau UF_INTERDOMAIN_TRUST_ACCOUNT
-
-
validare sAMAccountName pentru conturi de computer
The sAMAccountName of a computer account whose UserAccountControl attribute contains the UF_WORKSTATION_TRUST_ACCOUNT flag must end with a single dollar sign ($). Atunci când aceste condiții nu sunt îndeplinite, Active Directory returnează eroarea codului 0x523 ERROR_INVALID_ACCOUNTNAME. Validări nereușate sunt înregistrate în ID-ul de eveniment Directory-Services-SAM 16991 din jurnalul de evenimente System.
Atunci când aceste condiții nu sunt îndeplinite, Active Directory returnează un cod de eroare de ACCESS_DENIED. Validări nereușate sunt înregistrate în ID-ul de eveniment Directory-Services-SAM 16990 din jurnalul de evenimente System.
Evenimente de auditare
Object class and UserAccountControl validation failure
Atunci când validarea Object class și UserAccountControl nu reușește, următorul eveniment va fi înregistrat în jurnalul System (Sistem):
|
Jurnal de evenimente |
Sistem |
|
Tip eveniment |
Eroare |
|
Sursa de eveniment |
Directory-Services-SAM |
|
ID eveniment |
16990 |
|
Event Text |
Managerul de cont de securitate a blocat crearea unui cont Active Directory în acest domeniu de către un administrator care nu este administrator, cu semnalizări de tip clasă de obiect nepotrivit și utilizatorAccountControl. Detalii: Nume cont: %1%n Obiectul ContClasă: %2%n userAccountControl: %3%n Adresa apelantului: %4%n SID apelant: %5%n%n |
Nereușrite de validare a numelui contului SAM
Atunci când validarea numelui contului SAM nu reușește, următorul eveniment va fi înregistrat în jurnalul System (Sistem):
|
Jurnal de evenimente |
Sistem |
|
Tip eveniment |
Eroare |
|
Sursa de eveniment |
Directory-Services-SAM |
|
ID eveniment |
16991 |
|
Event Text |
Managerul de cont de securitate a blocat crearea sau redenumirea unui cont de computer de către un administrator, utilizând un sAMAccountName nevalid. sAMAccountName pe conturi de computer trebuie să se termine cu un singur semn $ de sfârșit. SAMAccountName încercat: %1 SAMAccountName recomandat: %1$ |
Evenimente de auditare de succes ale creării conturilor de computer
Următoarele evenimente de auditare existente sunt disponibile pentru crearea cu succes a unui cont de computer:
-
4741(S): a fost creat un cont de computer
-
4742(S): Un cont de computer a fost modificat
-
4743(S): Un cont de computer a fost șters
Pentru mai multe informații, consultați Auditarea gestionării conturilor de computer.
Întrebări frecvente
T1. Cum afectează această actualizare obiectele existente în Active Directory?
A1. Pentru obiectele existente, validarea are loc atunci când utilizatorii care nu au drepturi de administrator modifică atributele sAMAccountName sau UserAccountControl.
T2. Ce este un sAMAccountName?
A2. sAMAccountName este un atribut unic pentru toți contiile de securitate din Active Directory și include utilizatori, grupuri și computere. Restricțiile de nume pentru sAMAccountName sunt documentate în 3.1.1.6 Restricțiide atribut pentru actualizările de origine.
T3. Ce este un sAMAccountType?
A3. Pentru mai multe informații, citiți documentele următoare:
Există trei valori sAMAccountType posibile care corespund patru semnalizări posibile UserAccountcontrol, după cum urmează:
|
userAccountControl |
sAMAccountType |
|---|---|
|
UF_NORMAL_ACCOUNT |
SAM_USER_OBJECT |
|
UF_INTERDOMAIN_TRUST_ACCOUNT |
SAM_TRUST_ACCOUNT |
|
UF_WORKSTATION_TRUST_ACCOUNT |
SAM_MACHINE_ACCOUNT |
|
UF_SERVER_TRUST_ACCOUNT |
SAM_MACHINE_ACCOUNT |
T4. Care sunt valorile posibile pentru UserAccountControl?
A4. Pentru mai multe informații, citiți documentele următoare:
Q5. Cum pot găsi obiecte neconforme care există deja în mediul meu?
A5. Administratorii își pot căuta directorul după conturi neconforme existente utilizând un script PowerShell, ca în exemplele de mai jos.
Pentru a găsi conturile de computer care au un sAMAccountName neconform:
|
Get-ADComputer -LDAPFilter "(samAccountName=*)" |? SamAccountName -NotLike "*$" | select DNSHostName, Name, SamAccountName |
Pentru a găsi conturi de computer care au un UserAccountControl neconform sAMAccountType:
|
Get-ADComputer -LDAPFilter "UserAccountControl:1.2.840.113556.1.4.803:=512” |
