12 Aralık’ta yayınlanan bir PoC (Proof of Concept/Kavram Kanıtı) ile Active Directory kaynaklı bir zafiyetin Domain Controller’ın ele geçirilebilmesine imkan tanıdığı ortaya çıktı.
CVE-2021-42278 ve CVE-2021-42287 kodlarıyla yayınlanan güvenlik açıkları 10 üzerinden 7.5 risk puanıyla değerlendiriliyor. Active Directory yapısında yer alan bir yetki yükseltme açığı nedeniyle etki alanı yöneticisi olan Domain Controller ele geçirilebiliyor. Her iki hatayı da Catalyst IT’den Andrew Bartlett tespit etti.
Active Directory, Windows Server sunucu işletim sistemlerinde üzerinde çalışan kullanıcıların ve bağlı istemcilerin kimlik yönetimi ve erişim izinlerinin yapılandırıldığı bir hizmet. Bu hizmetin başındaki kullanıcıya ise Domain Controller / Domain Admin deniliyor. Saldırganlar kurumsal bir sisteme eriştiklerinde genellikle ilk olarak keşif aşamasından sonra bu zafiyetler gibi yazılım kusurlarını kullanarak yetki yükseltip Domain Admin olmaya çalışırlar.
CVE-2021-42278 sayesinde sisteme erişim sağlayan saldırganlar Active Directory yapısına bağlı kullanıcıların kullanıcıların oturum açmak için kullandığı SAM-Account-Name bilgisini kolayca değiştirebiliyor.
Microsoft tarafından bu iki zafiyetin sömürü ihtimali düşük görülse de PoC’nin yayınlanması, açıkların kapatılması için yapılan baskıları arttırdı ve hızlı bir şekilde yamalar çıkarıldı. Sistem yöneticilerinin bir an önce KB5008102, KB5008380, KB5008602 güncellemelerini uygulamalarında fayda var.
