Microsoft Windows Group Policy Preferences Password Privilege Escalation Vulnerability — Microsoft Windows Active Directory contains a privilege escalation vulnerability due to the way it distributes passwords that are configured using Group Policy preferences. An authenticated attacker who successfully exploits the vulnerability could decrypt the passwords and use them to elevate privileges on the domain.
Microsoft Windows Active Directory contains a critical privilege escalation vulnerability (CVE-2014-1812) in Group Policy Preferences password distribution mechanism. Authenticated attackers can decrypt stored passwords using publicly available AES keys, enabling domain-wide privilege escalation. Active exploitation exists with no official patch available.
تنشأ هذه الثغرة الأمنية الحرجة من تخزين مايكروسوفت لكلمات المرور المكونة عبر Group Policy Preferences في ملفات XML مشفرة بمفتاح AES-256 منشور علناً في وثائق MSDN. يمكن لأي مستخدم مصادق عليه في النطاق الوصول إلى مجلد SYSVOL واستخراج ملف Groups.xml الذي يحتوي على كلمات المرور المشفرة. باستخدام أدوات متاحة مجاناً مثل Get-GPPPassword، يستطيع المهاجم فك التشفير والحصول على بيانات اعتماد حسابات الخدمة أو المسؤولين المحليين. تشكل هذه الثغرة خطراً جسيماً على بيئات Active Directory في المؤسسات السعودية حيث يمكن استخدامها كنقطة انطلاق للحركة الجانبية ورفع الصلاحيات إلى مستوى مسؤول النطاق.
يحتوي مايكروسوفت ويندوز أكتيف ديركتوري على ثغرة حرجة لرفع الصلاحيات (CVE-2014-1812) في آلية توزيع كلمات المرور عبر تفضيلات نهج المجموعة. يمكن للمهاجمين المصادق عليهم فك تشفير كلمات المرور المخزنة باستخدام مفاتيح AES المتاحة علناً، مما يتيح رفع الصلاحيات على مستوى النطاق بالكامل. يوجد استغلال نشط للثغرة دون توفر تصحيح رسمي.
1. Immediately audit all Group Policy Objects (GPOs) for stored passwords using PowerShell scripts like Get-GPPPassword and remove all password configurations from Group Policy Preferences across SYSVOL shares
2. Implement Microsoft LAPS (Local Administrator Password Solution) or equivalent privileged access management solutions to securely manage local administrator passwords with automatic rotation and secure retrieval mechanisms
3. Deploy compensating controls including network segmentation to limit lateral movement, enable advanced audit logging for SYSVOL access and GPO modifications, and implement privileged access workstations (PAWs) for administrative tasks
1. إجراء مراجعة فورية لجميع كائنات نهج المجموعة (GPOs) للكشف عن كلمات المرور المخزنة باستخدام نصوص PowerShell مثل Get-GPPPassword وإزالة جميع تكوينات كلمات المرور من تفضيلات نهج المجموعة عبر مجلدات SYSVOL
2. تطبيق حل مايكروسوفت LAPS (Local Administrator Password Solution) أو حلول إدارة الوصول المميز المماثلة لإدارة كلمات مرور المسؤولين المحليين بشكل آمن مع التدوير التلقائي وآليات الاسترجاع الآمنة
3. نشر ضوابط تعويضية تشمل تقسيم الشبكة للحد من الحركة الجانبية، وتفعيل تسجيل المراجعة المتقدم للوصول إلى SYSVOL وتعديلات GPO، وتطبيق محطات عمل الوصول المميز (PAWs) للمهام الإدارية