cve-2021-42278 - RunkIntel

# CVE-2021-42278 - Active Directory SAMAccountName Spoofing (noPac) > [!high] CVE-2021-42278, combinado com CVE-2021-42287, forma o ataque "noPac" — permite que um usuário de domínio comum eleve privilégios para Domain Admin em segundos, comprometendo completamente o Active Directory. ## Visão Geral CVE-2021-42278 é uma vulnerabilidade de escalada de privilégios no **Windows Active Directory** que permite a um atacante com uma conta de domínio baixo privilégio modificar o atributo `sAMAccountName` de uma conta de computador para se fazer passar por um Domain Controller. Quando combinada com CVE-2021-42287 (outra falha no processo de emissão de tickets Kerberos), a cadeia de exploração — conhecida como **noPac** — permite comprometer um Domain Admin em segundos. O ataque funciona porque o AD permite, por padrão, que usuários comuns criem até 10 contas de computador. Ao criar uma conta de computador e renomear seu `sAMAccountName` para corresponder ao nome de um DC (removendo o sufixo `

), o atacante consegue solicitar um ticket de serviço (TGS) que é emitido com permissões de Domain Controller. A ferramenta de exploit público `noPac.py` automatiza o processo completamente. Grupos de ransomware como **Black Basta** e **Conti** adotaram esta técnica em 2022 como parte de suas cadeias de intrusão, tornando a aplicação do patch crítica para qualquer ambiente Active Directory. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Privilege Escalation — SAMAccountName spoofing | | Autenticação | Requerida (conta de domínio qualquer) | | CVE relacionada | CVE-2021-42287 (combo noPac) | | Ferramenta pública | noPac.py, Impacket | | Resultado | Domain Admin / DCSync | ## TTPs Relacionadas - [[t1558-steal-or-forge-kerberos-tickets|T1558]] - Forjar tickets Kerberos (noPac chain) - [[t1003-dcsync|T1003.006]] - DCSync para dump de hashes - [[t1078-valid-accounts|T1078]] - Uso de credenciais de domínio - [[t1136-create-account|T1136.002]] - Criação de conta de computador - [[m1036-account-use-policies|M1036]] - Restringir criação de contas de computador ## Detecção e Defesa **Mitigações recomendadas:** - Aplicar patch KB5008102 (novembro 2021) — patch obrigatório - Restringir o atributo `ms-DS-MachineAccountQuota` para zero (impede criação de contas por usuários) - Monitorar alterações no atributo `sAMAccountName` de contas de computador - Habilitar auditoria de Kerberos TGS requests (Event ID 4769) **Detecção por eventos Windows:** - Event ID 4741: Conta de computador criada - Event ID 4742: Conta de computador alterada (SAMAccountName modificado) - Event ID 4769: Solicitação de ticket de serviço Kerberos com SPN incomum ## Referências - [Microsoft CVE-2021-42278](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42278) - [noPac Tool — GitHub ThanHuuTuan](https://github.com/ThanHuuTuan/nopac) - [Secureworks — noPac Privilege Escalation](https://www.secureworks.com/blog/nopac-a-tale-of-two-vulnerabilities-that-could-end-in-ransomware)