الثغرات ›

CVE-2021-42278

حرج 🇺🇸 CISA KEV ⚡ اختراق متاح

Microsoft Active Directory Domain Services Privilege Escalation Vulnerability — Microsoft Active Directory Domain Services contains an unspecified vulnerability that allows for privilege escalation.

                    نُشر: Apr 11, 2022                                          ·  المصدر: CISA_KEV                

CVSS v3

9.0

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

🤖 ملخص AI

CVE-2021-42278 is a critical privilege escalation vulnerability in Microsoft Active Directory Domain Services (CVSS 9.0) that allows unauthenticated or low-privileged attackers to escalate privileges within AD environments. This vulnerability is particularly severe as Active Directory is the foundational identity and access management system for most Saudi organizations. With public exploits available, this poses an immediate and significant risk to all organizations relying on AD for authentication and authorization.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 21, 2026 11:18

🇸🇦 التأثير على المملكة العربية السعودية

This vulnerability affects virtually all Saudi organizations using Active Directory, with highest impact on: Banking sector (SAMA-regulated institutions managing critical financial infrastructure), Government agencies (NCA, ministries relying on AD for access control), Healthcare providers (MOH facilities managing patient data), Energy sector (ARAMCO and downstream operators), Telecommunications (STC, Mobily, Zain using AD for enterprise authentication), and Large enterprises across all sectors. Successful exploitation could lead to complete compromise of AD environments, enabling lateral movement, data exfiltration, and persistent access across entire organizational networks.

🏢 القطاعات السعودية المتأثرة

Banking and Financial Services Government and Public Administration Healthcare and Medical Services Energy and Utilities Telecommunications Large Enterprises Education and Universities Defense and Security

🎯 تقنيات MITRE ATT&CK

T1078 - Valid Accounts T1548 - Abuse Elevation Control Mechanism T1134 - Access Token Manipulation T1098 - Account Manipulation T1556 - Modify Authentication Process T1556.001 - Domain Controller Authentication T1558 - Steal or Forge Kerberos Tickets T1558.001 - Kerberos Ticket Granting Ticket (TGT) T1558.002 - Service Ticket T1558.003 - Kerberoasting T1550 - Use Alternate Authentication Material T1550.001 - Application Access Token T1550.002 - Pass the Hash T1550.003 - Pass the Ticket T1550.004 - Windows Admin Shares T1021 - Remote Services T1021.006 - Windows Remote Management

⚖️ درجة المخاطر السعودية (AI)

9.5

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Apply Microsoft security updates KB5008102 (Windows Server 2016/2019/2022) or later immediately to all Domain Controllers

2. Implement network segmentation to restrict access to Domain Controllers from untrusted networks

3. Enable Enhanced Security Admin Environment (ESAE) or Red Forest architecture if not already deployed

4. Monitor all Domain Controller logs for suspicious authentication attempts and privilege escalation activities

PATCHING GUIDANCE:

1. Prioritize patching all Domain Controllers in production environments within 48 hours

2. Test patches in non-production AD environments first

3. Coordinate patching with change management to minimize business disruption

4. Ensure all domain-joined servers and workstations are also patched

COMPENSATING CONTROLS (if immediate patching not possible):

1. Restrict logon rights to Domain Controllers to authorized administrators only

2. Implement Privileged Access Workstations (PAWs) for all AD administrative activities

3. Enable MFA for all administrative accounts

4. Deploy Windows Defender for Identity (formerly ATA) to detect suspicious AD activities

5. Implement strict Group Policy restrictions on service account usage

DETECTION RULES:

1. Monitor Event ID 4742 (Computer account changed) for unauthorized changes

2. Alert on Event ID 4768 (Kerberos authentication ticket requested) with suspicious service principals

3. Track Event ID 4769 (Kerberos service ticket requested) for unusual service account access

4. Monitor for unexpected privilege group membership changes (Event ID 4728, 4729, 4730, 4732, 4733, 4756)

5. Implement SIEM rules to detect Kerberos pre-authentication bypass attempts

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. تطبيق تحديثات أمان Microsoft KB5008102 (Windows Server 2016/2019/2022) أو أحدث فوراً على جميع Domain Controllers

2. تنفيذ تقسيم الشبكة لتقييد الوصول إلى Domain Controllers من الشبكات غير الموثوقة

3. تفعيل بيئة المسؤول الآمن المحسّنة (ESAE) أو معمارية Red Forest إن لم تكن مطبقة

4. مراقبة سجلات Domain Controller لاكتشاف محاولات المصادقة المريبة وأنشطة تصعيد الامتيازات

إرشادات التصحيح:

1. أولويات تصحيح جميع Domain Controllers في بيئات الإنتاج خلال 48 ساعة

2. اختبار التصحيحات في بيئات AD غير الإنتاجية أولاً

3. تنسيق التصحيح مع إدارة التغيير لتقليل انقطاع الأعمال

4. التأكد من تصحيح جميع الخوادم والمحطات الطرفية المرتبطة بالمجال

الضوابط البديلة (إذا لم يكن التصحيح الفوري ممكناً):

1. تقييد حقوق تسجيل الدخول إلى Domain Controllers للمسؤولين المصرح لهم فقط

2. تنفيذ محطات عمل الوصول المميز (PAWs) لجميع أنشطة إدارة AD

3. تفعيل المصادقة متعددة العوامل لجميع حسابات المسؤولين

4. نشر Windows Defender for Identity لاكتشاف أنشطة AD المريبة

5. تنفيذ قيود Group Policy صارمة على استخدام حسابات الخدمة

قواعد الكشف:

1. مراقبة Event ID 4742 (تم تغيير حساب الكمبيوتر) للتغييرات غير المصرح بها

2. التنبيه على Event ID 4768 (تم طلب تذكرة مصادقة Kerberos) مع مبادئ خدمة مريبة

3. تتبع Event ID 4769 (تم طلب تذكرة خدمة Kerberos) للوصول غير المعتاد لحساب الخدمة

4. مراقبة التغييرات غير المتوقعة في عضوية مجموعة الامتيازات (Event ID 4728, 4729, 4730, 4732, 4733, 4756)

5. تنفيذ قواعد SIEM للكشف عن محاولات تجاوز المصادقة المسبقة لـ Kerberos

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.5.1.1 - Policies and procedures for access control A.5.2.1 - User registration and de-registration A.5.2.2 - User access provisioning A.5.2.3 - Management of privileged access rights A.5.3.1 - Management of secret authentication information A.8.2.1 - User endpoint devices A.8.2.2 - Privileged access rights A.8.2.3 - Information access restriction A.8.2.4 - Access to program source code

🔵 SAMA CSF

ID.AM-1 - Asset Management ID.AM-2 - Business Environment PR.AC-1 - Access Control Policy PR.AC-2 - Physical and Logical Access Control PR.AC-3 - Remote Access PR.AC-4 - Access Management PR.AC-5 - Identifier Management PR.AC-6 - Privilege Management PR.AC-7 - User, Process, and Device Authentication DE.CM-1 - Detection Processes

🟡 ISO 27001:2022

5.3 - Segregation of duties 6.2 - Competence 8.2 - Privileged access rights 8.3 - Information access restriction A.5.1.1 - Policies for access control A.5.2 - User access management A.5.3 - Management of secret authentication information A.8.2 - User endpoint devices A.8.3 - Logging

🟣 PCI DSS v4.0

Requirement 2 - Default security parameters Requirement 7 - Restrict access to data by business need Requirement 8 - Identify and authenticate access Requirement 10 - Track and monitor access to network resources

🔗 المراجع والمصادر 0

لا توجد مراجع.

📦 المنتجات المتأثرة 1 منتج

Microsoft:Active Directory

📊 CVSS Score

9.0

/ 10.0 — حرج

📋 حقائق سريعة

الخطورة حرج

CVSS Score9.0

EPSS94.07%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

CISA KEV🇺🇸 Yes

تاريخ الإصلاح2022-05-02

تاريخ النشر 2022-04-11

المصدر cisa_kev

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

9.5

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

kev actively-exploited ransomware

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2021-42278

عرّفنا بنفسك

تسجيل الدخول مطلوب