Microsoft emite una advertencia sobre un ataque de escalada de privilegios, en Active Directory

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Aunque Microsoft lanza regularmente actualizaciones de calidad y seguridad para su software compatible, como consumidor también es importante aplicarlas lo antes posible. La compañía ha emitido un aviso sobre algunas vulnerabilidades que ya ha parcheado pero que ahora están siendo explotadas en configuraciones que aún no han sido actualizadas.

Ya en noviembre, Microsoft etiquetó dos vulnerabilidades como CVE-2021-42287 y CVE-2021-42278 describiéndolas como “vulnerabilidad de escalada de privilegios del servicio de dominio de Windows Active Directory”. Los problemas en cuestión permiten a un actor malicioso obtener fácilmente privilegios de administrador de dominio en Active Directory después de comprometer una cuenta de usuario normal. Microsoft ha publicado tres parches para su despliegue inmediato en los controladores de dominio, que se describen a continuación:

KB5008102-Cambios en el endurecimiento del Administrador de cuentas de seguridad de Active Directory (CVE-2021-42278)
KB5008380-Actualizaciones de autenticación (CVE-2021-42287)
KB5008602(OS Build 17763.2305) Fuera de banda

Aunque los parches mencionados han estado disponibles durante semanas, el problema es que una herramienta de prueba de concepto que explota estas vulnerabilidades fue revelada públicamente el 12 de diciembre. Los actores maliciosos pueden utilizarla para realizar ataques de escalada de privilegios en Active Directory apuntando a controladores de dominio sin parches.

Por ello, Microsoft ha emitido un aviso, solicitando a los clientes que parcheen los sistemas aplicables, lo antes posible. En su publicación en el blog técnico, la empresa también ha profundizado en los detalles sobre cómo detectar indicadores de compromiso y ha adjuntado también algunas consultas de Advanced Hunting.

Con información de Microsofters.