Kritična ranjivost u Microsoft-ovim Active Directory Certificate Services (AD CS) koja bi mogla omogućiti napadačima da povećaju privilegije i potencijalno dobiju administratorski pristup domene.
Ovaj novi exploit, nazvan ESC15 ili “EKUwu”, otkrio je TrustedSec početkom oktobra 2024. i od tada je dodat popularnim uvrijedljivim sigurnosnim alatima.
Ranjivost, zvanično praćena kao CVE-2024-49019, utiče na AD CS okruženja koja koriste sertifikate verzije 1 sa specifičnim konfiguracijama. Omogućava napadačima sa osnovnim pravima upisa da manipulišu zahtjevima za sertifikate, zaobilazeći namjeravana ograničenja i stečući neovlaštene privilegije.
ESC15 se nadograđuje na prethodne AD CS ranjivosti, poznate kao ESC1 do ESC14, koje su prvi dokumentirali SpecterOps istraživači Will Schroeder i Lee Christensen 2021. Ovo najnovije otkriće pokazuje tekuće izazove u osiguravanju AD CS infrastrukture.
Eksploatacija koristi prednost u načinu na koji AD CS rukuje zahtjevima za sertifikate. Napadači mogu izraditi zahtjeve za potpisivanje certifikata (CSR) koji uključuju politike aplikacije koje nadjačavaju predviđene atribute proširene upotrebe ključa (EKU) navedene u predlošku.
To im omogućava da generišu sertifikate s povišenim privilegijama, kao što su provjera autentičnosti klijenta , agent zahtjeva za sertifikatom, pa čak i mogućnosti potpisivanja koda.
Posebno je zabrinjavajuća mogućnost eksploatacije najčešće korištenog WebServer šablona. Uprkos tome što ovaj predložak obično ne uključuje dozvole za autentifikaciju klijenta, ranjivost omogućava napadačima da dodaju ove mogućnosti, što potencijalno može dovesti do narušavanja domene.
Microsoft je riješio problem
Microsoft je vjerovatnoću buduće eksploatacije ocijenio visokom, s obzirom na potencijal da napadači steknu administratorske privilegije domene. Organizacije koje koriste AD CS se pozivaju da poduzmu hitne mjere kako bi zaštitile svoje okruženje.
Preporučeni koraci za ublažavanje uključuju:
- Pregledavanje i pooštravanje dozvola za upis na predlošcima sertifikata.
- Uklanjanje nekorištenih predložaka sertifikata radi smanjenja površine napada.
- Implementacija dodatne zaštite za zahtjeve prilagođenih subjekata, kao što su dodatni potpisi ili procesi odobravanja.
- Revizija svih važećih sertifikata izdanih s verzije 1 sheme za neovlaštene EKU-ove ili neobična imena predmeta.
Microsoft je objavio službenu ispravku za ESC15 12. novembra 2024., kao dio ažuriranja novembarske zakrpe u utorak. Međutim, administratorima se savjetuje da preduzmu proaktivne mjere kako bi osigurali svoje AD CS okruženje osim jednostavne primjene zakrpe.
Kako se organizacije i dalje oslanjaju na AD CS za upravljanje digitalnim identitetima, otkriće ESC15 služi kao oštar podsjetnik na kritičnu važnost pravilne konfiguracije i tekućih sigurnosnih procjena u poslovnim PKI okruženjima.
Izvor: CyberSecurityNews
