CVE-2021-42287 — 神龙十问 AI 深度分析摘要
CVSS 7.5 · High
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Active Directory 权限许可和访问控制问题。 💥 **后果**:攻击者可利用此漏洞获取 **Domain Admin** 权限,完全控制域环境。
Q2根本原因?(CWE/缺陷点)
🔍 **缺陷点**:权限许可和访问控制逻辑缺陷。 ⚠️ **CWE**:数据中未提供具体 CWE ID,但核心在于 **KDC 验证绕过** 和 **sAMAccountName 欺骗**。
Q3影响谁?(版本/组件)
🖥️ **受影响产品**:Microsoft Windows Server 2019。 📦 **版本**:包括标准版及 Server Core 安装版本。
Q4黑客能干啥?(权限/数据)
🔑 **权限提升**:从普通域用户提升至 **Domain Admin**。 📂 **数据访问**:可访问域内所有敏感数据,实施 **Golden Ticket** 攻击。
Q5利用门槛高吗?(认证/配置)
📉 **门槛**:中等。 🔐 **条件**:需要 **低权限** 域用户账户(PR:L),无需用户交互(UI:N)。
Q6有现成Exp吗?(PoC/在野利用)
💣 **Exp 存在**:有现成工具。 🛠️ **工具**:`noPac` (cube0x0), `Invoke-noPac`, `NoPacScan`, `Invoke-sAMSpoofing`。 🌐 **利用**:结合 CVE-2021-42278 和 CVE-2021-42287 实现域控接管。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**: 1. 使用 `noPac` 扫描器检测 DC 是否返回无 PAC 的 TGT。 2. 使用 `NoPacScan` 通过 DNS 查询 `_msdcs.域名` 发现更多 DC。 3. 检查 PAC 类型是否为 0x10(微软补丁特征)。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方修复**:已发布补丁。 ✅ **建议**:立即为受影响的 Windows Server 2019 域控制器安装安全更新。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**: 1. 限制 **MachineAccountQuota** 为 0(防止攻击者创建机器账户)。 2. 监控异常的 TGT 请求和无 PAC 票据。 3. 强化 KDC 日志监控。
Q10急不急?(优先级建议)
⚡ **优先级**:极高 (Critical)。 📢 **建议**:CVSS 评分高,影响域控安全,建议 **立即修补** 或实施严格缓解措施。