Nachfrage zu CVE-2021-42278

[Garant 3]

Hallo,

 

Ende 2021 kam die Sicherheitslücke mit o.g. CVE-Nummer hoch. Microsoft hat im November via CU-Update ein Fix dafür bereitgestellt. Dieser Fix sollte doch auch in den darauf gekommenen CUs enthalten sein, oder?

Die Frage zielt daher, da ich via Pentest auf die Lücke aufmerksam gemacht wurde. Laut Übersicht der installierten Updates habe ich zwar 2021-11 nicht installiert, aber die späteren Updates.

 

KB5008380—Authentication updates (CVE-2021-42287) - Microsoft Support

 

Da wäre jetzt die Frage - muss ich das CU aus 2021-11 manuell nachinstallieren? Ein einzelnes Patch dazu habe ich nicht gefunden.

[NorbertFe 1.835]

Wäre ja jetzt die Frage, wie dein aktueller Stand ist? Ist er vom April 2024 oder älter? Technisch sollten die CUs, wie der Name schon sagt cumulative sein. Aber das PACEnforcement wurde ja mehrfach verschoben. Insofern wäre jetzt die nächste Frage, was der Pentest denn prüft und ob das überhaupt korrekt ist.

[Garant 3]

Hi,

 

also auf dem Domain-Controller sind diverse CU-Updates aus diesem installiert, auch der aktuelle aus April 2024. 

 

 

Der Pentest hat mir rausgeworfen, dass er über die Schwachstelle, beschrieben in CVE-2021-42278/noPac, einen Impact zu verzeichnen hatte. Weitere techn. Details darüber weiss ich leider nicht.

 

 

[NorbertFe 1.835]

Es gibt nur einen DC?

[Garant 3]

Hi,

 

nein - mehrere DCs (alle 2016, leider noch ein 2012er). Die sind vom Stand der Updates aber alle gleich und soweit ich es überblicken konnte,

fehlt auf allen der Eintrag in der Registrierung. Folgend ein Screenshot zur besseren Übersicht der Updates.

 

[Nobbyaushb 1.372]

Moin,

von wo gegen was wurde der Pentest gefahren?

Wird der Fehler in dem AD angemeckert oder auf einen bestimmten DC?

Kannst du den 2012er DC nicht zeitnah durch einen 2019 oder 2022 ersetzen?

Nichts ist schneller ersetzt als ein DC - eigentlich…

[Garant 3]

Hallo Norbert,

 

eine Appliance, die sich im Netz wie die restlichen Systeme befunden hat. Über eine Angriffskette konnte der Zugriff erlangt werden. Unter anderem konnte durch das Erraten eines Passworts eines Benutzers, der Benutzer für diese SChwachstelle herangezogen werden. So geht es jedenfalls aus dem Bericht hervor. 

 

Es wird die IP eines Domänen-Controllers angezeigt und der entsprechende CVE-Vermerk.

[Nobbyaushb 1.372]

vor 10 Minuten schrieb Garant:

Es wird die IP eines Domänen-Controllers angezeigt und der entsprechende CVE-Vermerk.

Ok, und welcher der DC‘s war es?

[Garant 3]

Einer der 2016er - von dem auch die o.g. Screenshots stammen.

[testperson 1.548]

Wenn der Registrykey nicht da ist, sollte jetzt bzw. seit dem 01.10.2022 auch egal sein. Aus deinem Link oben:

Zitat

The October 11, 2022 release will transition all Active Directory domain controllers into the Enforcement phase. The Enforcement phase deprecates the PacRequestorEnforcement key and no longer reads it.

 

Hat die Appliance(?) vielleicht einfach nur die Domain Controller nach dem Key abgesucht und moniert, dass diese nicht da sind?

[Garant 3]

Ich habe nochmal nachgefragt, wie das technisch genau realisiert wurde. Vielleicht werden wir/ich dann schlauer.

 

Gibt es dann eine Möglichkeit zu prüfen, ob meine DCs geschützt sind?

[Garant 3]

Guten Morgen,

 

habt Ihr noch einen Ansatz zu der Frage bzgl. der Prüfung, ob die DCs anfällig oder geschützt sind?

[NilsK 2.795]

Moin, 

 

Haben denn deine Nachforschungen etwas ergeben? Wir müssen ja nicht nach einem Mauseloch suchen, wenn es die Maus gar nicht gibt. Vermutlich sollte man da noch etwas abwarten wegen der Feiertage. 

 

Wenn es etwas Naheliegendes gäbe, wäre es erfahrungsgemäß hier schon genannt worden.

 

Gruß, Nils