Microsoft Defender for Identity offre strumenti avanzati per individuare e mitigare possibili sfruttamenti della vulnerabilità CVE-2024-21427 e migliorare la sicurezza dei sistemi informatici.
La recentemente pubblicata vulnerabilità CVE-2024-21427 Windows Kerberos ha risvegliato l’attenzione dei team di ricerca di sicurezza sulla possibilità di bypass delle politiche di autenticazione configurate in Active Directory. E’ fortemente consigliato l’impiego degli aggiornamenti di sicurezza più recenti, che includono l’ultimo patch, per proteggere server e dispositivi.
Di fronte a ogni divulgazione di vulnerabilità o superficie di attacco, i team di ricerca lavorano per individuare possibili exploit, risolvere problemi potenziali e fornire metodi di rilevamento immediato. Queste rilevazioni sono sottoposte a rigidi test in ambienti di laboratorio e in implementazioni sperimentali per garantire che rispettino gli standard di prestazione e precisione. Il team di Microsoft Defender for Identity ha aggiunto un’ulteriore attività al portale Advanced Hunting, per aiutare a individuare tentativi di sfruttamento di questa vulnerabilità.
Grazie alla funzione di advanced hunting, gli utenti sono in grado di monitorare sia l’autenticazione Kerberos AS sia di creare regole personalizzate di rilevamento con Microsoft Defender XDR, scatenando automaticamente avvisi per questo tipo di attività. E’ possibile utilizzare la seguente query per monitorare l’autenticazione Kerberos AS.
IdentityLogonEvents| where Application == "Active Directory"| where Protocol == "Kerberos"| where LogonType in("Resource access", "Failed logon")| extend Error = AdditionalFields["Error"]| extend KerberosType = AdditionalFields['KerberosType']| where KerberosType == "KerberosAs"| extend Spns = AdditionalFields["Spns"]| extend DestinationDC = AdditionalFields["TO.DEVICE"]| where Spns !contains "krbtgt" and Spns !contains "kadmin"| project Timestamp, ActionType, LogonType, AccountUpn, AccountSid, IPAddress, DeviceName, KerberosType, Spns, Error, DestinationDC, DestinationIPAddress, ReportIdCosi facendo si potrà scatenare automaticamente un allarme non appena si rileveranno possibili attività legate a questa vulnerabilità. Per ulteriori informazioni su questa vulnerabilità e per restare sempre aggiornati sulle ultime capacità di Defender for Identity, si consiglia di seguire la documentazione “What’s New”