Garant 3 Geschrieben 7. Mai Melden Teilen Geschrieben 7. Mai Hallo, Ende 2021 kam die Sicherheitslücke mit o.g. CVE-Nummer hoch. Microsoft hat im November via CU-Update ein Fix dafür bereitgestellt. Dieser Fix sollte doch auch in den darauf gekommenen CUs enthalten sein, oder? Die Frage zielt daher, da ich via Pentest auf die Lücke aufmerksam gemacht wurde. Laut Übersicht der installierten Updates habe ich zwar 2021-11 nicht installiert, aber die späteren Updates. KB5008380—Authentication updates (CVE-2021-42287) - Microsoft Support Da wäre jetzt die Frage - muss ich das CU aus 2021-11 manuell nachinstallieren? Ein einzelnes Patch dazu habe ich nicht gefunden. Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 7. Mai Melden Teilen Geschrieben 7. Mai Wäre ja jetzt die Frage, wie dein aktueller Stand ist? Ist er vom April 2024 oder älter? Technisch sollten die CUs, wie der Name schon sagt cumulative sein. Aber das PACEnforcement wurde ja mehrfach verschoben. Insofern wäre jetzt die nächste Frage, was der Pentest denn prüft und ob das überhaupt korrekt ist. Zitieren Link zu diesem Kommentar
Garant 3 Geschrieben 7. Mai Autor Melden Teilen Geschrieben 7. Mai Hi, also auf dem Domain-Controller sind diverse CU-Updates aus diesem installiert, auch der aktuelle aus April 2024. Der Pentest hat mir rausgeworfen, dass er über die Schwachstelle, beschrieben in CVE-2021-42278/noPac, einen Impact zu verzeichnen hatte. Weitere techn. Details darüber weiss ich leider nicht. Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 7. Mai Melden Teilen Geschrieben 7. Mai Es gibt nur einen DC? Zitieren Link zu diesem Kommentar
Garant 3 Geschrieben 7. Mai Autor Melden Teilen Geschrieben 7. Mai Hi, nein - mehrere DCs (alle 2016, leider noch ein 2012er). Die sind vom Stand der Updates aber alle gleich und soweit ich es überblicken konnte, fehlt auf allen der Eintrag in der Registrierung. Folgend ein Screenshot zur besseren Übersicht der Updates. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 7. Mai Melden Teilen Geschrieben 7. Mai Moin, von wo gegen was wurde der Pentest gefahren? Wird der Fehler in dem AD angemeckert oder auf einen bestimmten DC? Kannst du den 2012er DC nicht zeitnah durch einen 2019 oder 2022 ersetzen? Nichts ist schneller ersetzt als ein DC - eigentlich… Zitieren Link zu diesem Kommentar
Garant 3 Geschrieben 7. Mai Autor Melden Teilen Geschrieben 7. Mai Hallo Norbert, eine Appliance, die sich im Netz wie die restlichen Systeme befunden hat. Über eine Angriffskette konnte der Zugriff erlangt werden. Unter anderem konnte durch das Erraten eines Passworts eines Benutzers, der Benutzer für diese SChwachstelle herangezogen werden. So geht es jedenfalls aus dem Bericht hervor. Es wird die IP eines Domänen-Controllers angezeigt und der entsprechende CVE-Vermerk. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 7. Mai Melden Teilen Geschrieben 7. Mai vor 10 Minuten schrieb Garant: Es wird die IP eines Domänen-Controllers angezeigt und der entsprechende CVE-Vermerk. Ok, und welcher der DC‘s war es? Zitieren Link zu diesem Kommentar
Garant 3 Geschrieben 7. Mai Autor Melden Teilen Geschrieben 7. Mai Einer der 2016er - von dem auch die o.g. Screenshots stammen. Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 7. Mai Melden Teilen Geschrieben 7. Mai Wenn der Registrykey nicht da ist, sollte jetzt bzw. seit dem 01.10.2022 auch egal sein. Aus deinem Link oben: Zitat The October 11, 2022 release will transition all Active Directory domain controllers into the Enforcement phase. The Enforcement phase deprecates the PacRequestorEnforcement key and no longer reads it. Hat die Appliance(?) vielleicht einfach nur die Domain Controller nach dem Key abgesucht und moniert, dass diese nicht da sind? Zitieren Link zu diesem Kommentar
Garant 3 Geschrieben 7. Mai Autor Melden Teilen Geschrieben 7. Mai Ich habe nochmal nachgefragt, wie das technisch genau realisiert wurde. Vielleicht werden wir/ich dann schlauer. Gibt es dann eine Möglichkeit zu prüfen, ob meine DCs geschützt sind? Zitieren Link zu diesem Kommentar
Garant 3 Geschrieben 13. Mai Autor Melden Teilen Geschrieben 13. Mai Guten Morgen, habt Ihr noch einen Ansatz zu der Frage bzgl. der Prüfung, ob die DCs anfällig oder geschützt sind? Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 13. Mai Melden Teilen Geschrieben 13. Mai Moin, Haben denn deine Nachforschungen etwas ergeben? Wir müssen ja nicht nach einem Mauseloch suchen, wenn es die Maus gar nicht gibt. Vermutlich sollte man da noch etwas abwarten wegen der Feiertage. Wenn es etwas Naheliegendes gäbe, wäre es erfahrungsgemäß hier schon genannt worden. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.