Атаки на Active Directory Certificate Services: Уязвимости и методы защиты

Введение:

Active Directory Certificate Services (AD CS) является важным компонентом инфраструктуры Windows Server, предоставляя функции инфраструктуры открытых ключей (PKI) для организаций. Однако неправильная конфигурация и недостаточный мониторинг AD CS могут привести к серьезным нарушениям безопасности. В этом отчете рассматриваются различные методы, которые злоумышленники могут использовать для эскалации привилегий, обеспечения постоянного доступа и кражи сертификатов.

Ключевые факты:

1. Эскалация привилегий в домене:
   • ESC1: Эксплуатация неправильно настроенных шаблонов сертификатов для запроса сертификатов с более высокими привилегиями.
   • ESC2: Использование слабых мест в службах веб-запросов сертификатов для получения сертификатов для привилегированных учетных записей.
   • ESC3: Манипуляции с разрешениями на изменение шаблонов для несанкционированного доступа.
   • ESC4: Злоупотребление возможностью указания альтернативных имен субъектов (SAN) в запросах сертификатов для имитации привилегированных учетных записей.
   • ESC5: Использование слабых ACL на объектах CA для выдачи сертификатов с высокими привилегиями.
   • ESC6: Атаки NTLM relay на HTTP-эндпоинты AD CS.
   • ESC7: Подделка клиентских аутентификационных сертификатов для доступа к привилегированным системам.
   • ESC8: Злоупотребление агентами регистрации для запроса сертификатов для других пользователей.
   • ESC9: Эксплуатация службы веб-регистрации для получения привилегий.
   • ESC10: Настройка ложных центров сертификации (CA).
   • ESC11 и ESC12: Эксплуатация межлесных доверительных отношений и понижение безопасности CA.
   • ESC13: Компрометация учетных записей служб с правами регистрации.
2. Методы обеспечения постоянного доступа в домене:
   • DPERSIST1: Использование долгосрочных сертификатов для непрерывного доступа.
   • DPERSIST2: Создание дубликатов сертификатов для сохранения доступа даже при отзыве оригиналов.
   • DPERSIST3: Добавление скрытых шаблонов сертификатов для обеспечения постоянного, незаметного доступа.
3. Методы обеспечения постоянного доступа к учетным записям:
   • PERSIST1: Использование сертификатов для сохранения доступа к учетным записям с высокими привилегиями несмотря на смену паролей.
   • PERSIST2: Установка бэкдор-сертификатов на ключевые учетные записи.
   • PERSIST3: Использование сертификатов для входа с помощью смарт-карт для обеспечения непрерывного привилегированного доступа.
4. Методы кражи сертификатов:
   • THEFT1: Извлечение закрытых ключей непосредственно из сертификатов.
   • THEFT2: Использование локального административного доступа для кражи сертификатов с пользовательских машин.
   • THEFT3: Компрометация базы данных CA для извлечения ключей сертификатов.
   • THEFT4: Перехват сетевого трафика для захвата сертификатов.
   • THEFT5: Эксплуатация разрешений на экспорт для кражи сертификатов с CA или пользовательских машин.

Выводы:

1. Необходимость строгой конфигурации AD CS:
   • Организации должны уделять приоритетное внимание безопасной конфигурации AD CS, внедряя строгие контрольные меры доступа и проводя регулярные аудиты безопасности для выявления и устранения потенциальных уязвимостей.
2. Постоянный мониторинг и управление:
   • Прокативное управление, непрерывный мониторинг и соблюдение лучших практик являются ключевыми для защиты от сложных атак, нацеленных на AD CS, и обеспечения устойчивости и безопасности инфраструктуры PKI.
3. Обучение и осведомленность:
   • Обучение сотрудников и повышение осведомленности о возможных угрозах и методах защиты являются важными элементами в предотвращении атак на AD CS.

Заключение:

Безопасность Active Directory Certificate Services (AD CS) имеет первостепенное значение для защиты среды Active Directory организации. Понимание и смягчение различных векторов атак, связанных с AD CS, позволяет предприятиям защититься от несанкционированного доступа и сохранить целостность своих систем. Организации должны внедрять проактивные меры управления, непрерывный мониторинг и следовать лучшим практикам для защиты от сложных атак, нацеленных на AD CS.

О компании Hadess:

Hadess — это компания в области кибербезопасности, сосредоточенная на защите цифровых активов и создании безопасной цифровой экосистемы. Наша миссия заключается в наказании хакеров и укреплении защиты клиентов через инновации и экспертные услуги в области кибербезопасности. Мы стремимся быть символом доверия, устойчивости и возмездия в борьбе с киберугрозами.

Author: admin