Pesquisadores de cibersegurança revelaram uma falha de segurança no Windows Active Directory (AD) da Microsoft, permitindo que utilizadores ativos adicionem máquinas ao domínio mesmo sem privilégios de administrador, expondo a máquina ao risco de ataques de escalonamento de privilégios. Conforme as configurações padrão, um utilizador do AD pode adicionar até dez estações de trabalho ao domínio.
Usando a ferramenta KrbRelayUp, uma escalação de privilégio local universal sem correção em ambientes de domínio Windows onde a assinatura LDAP não é aplicada conforme as configurações padrão, um adversário simplesmente precisa executar o código num host ingressado no domínio para executar um ataque. Os pesquisadores de segurança esperam que essa falha seja amplamente aproveitada pelos operadores de ransomware para prosseguir com as infeções, pois a rotina de exploração é bastante primitiva.
Mitigação
A atenção crescente a esse problema de segurança potencialmente perigoso lembra novamente os riscos da capacidade de todos os utilizadores autenticados de ingressar nos seus dispositivos num domínio. Os perigos podem ser mitigados alterando a configuração padrão e removendo utilizadores autenticados da política de controladores de domínio padrão. Como alternativa, a nova política de segurança pode ser introduzida para definir a configuração “Adicionar estação de trabalho ao domínio”. Mais detalhes sobre a mitigação da vulnerabilidade KrbRelayUp podem ser encontrados na pesquisa mais recente de Mor Davidovich na sua última entrada no GitHub.
Uma estratégia proativa de segurança cibernética é uma solução viável que as organizações progressistas estão se esforçando para implementar para fortalecer as suas capacidades defensivas cibernéticas.
Fonte: socprime.com