Active Directory beveiligen: privilege-escalatie via AD CS voorkomen

De databeveiligingssector is een van de snelst groeiende sectoren ter wereld en met deze constante ontwikkelingen blijven de risico's op kwetsbaarheden toenemen. Het is cruciaal voor organisaties om proactief om te gaan met gegevensbescherming door deze kwetsbaarheden niet alleen te beoordelen, maar ook effectief te beheren om de beveiliging tegen cyberdreigingen te verbeteren.

Een dergelijke ernstige kwetsbaarheid bestaat binnen Active Directory-certificaatservices (AD CS) Deze kwetsbaarheid biedt een achterdeur voor aanvallen om hun rechten te verhogen van het niveau van Child Domain Admin naar dat van Enterprise Admin voor het hele forest.  

Onze blog biedt u alle informatie die u nodig hebt over de kwetsbaarheid in AD Certificate Services (AD CS) die kan worden misbruikt om de rechten van domeinbeheerders te verhogen. We onderzoeken methoden om dit risico te elimineren door de kwetsbaarheid te begrijpen en u te helpen uw AD-omgeving te beschermen. 

Pre-requisites

De eerste stap is het verkrijgen van een goed begrip van de AD-structuur. Deze aanval is specifiek gericht op Active Directory met een forest dat een bovenliggend domein (ook wel rootdomein genoemd) en een of meer subdomeinen bevat. 

In dit voorbeeldscenario bevat de omgeving twee domeinen: 

1. Bovenliggend domein: EnconPKI.com
2. Kinddomein: Child.EnconPKI.com

Let op: Het bovenliggende domein (EnconPKI.com) is opgezet met een volledig functionele AD CS PKI Omgeving, terwijl het Child Domain (Child.EnconPKI.com) alleen een beschrijfbare Domain Controller bevat. 

Inzicht in de AD CS Escalation of Privilege Attack  

De exploit begint met een aanvaller die als eerste toegang krijgt tot een systeem binnen het netwerk. Als dit gecompromitteerde systeem toebehoort aan een gebruiker met domeinbeheerdersrechten voor een onderliggend domein, kan de aanvaller deze toegang mogelijk uitbreiden naar Enterprise Admin-rechten in het hele forest. 

Met dit compromis krijgen ze mogelijk volledige controle over de gehele Active Directory-omgeving, inclusief de mogelijkheid om: 

• Gegevenslek: De aanvaller kan stelen gevoelige gegevens die in Active Directory zijn opgeslagen, zoals gebruikersnamen, wachtwoorden en financiële informatie. 
• Verstoorde bedrijfsvoering: De aanvaller kan kritieke Active Directory-objecten manipuleren en zo essentiële netwerkdiensten en -toepassingen verstoren. 
• Zijwaartse beweging: De aanvaller kan misbruik maken van de misbruikte privileges om zich lateraal door het netwerk te bewegen, waardoor nog meer systemen in gevaar komen en de controle over het netwerk wordt uitgebreid. 
• Blijvende toegang: De aanvaller kan nieuwe gebruikersaccounts aanmaken met permanente beheerdersrechten. Zo kunnen ze de omgeving controleren, zelfs nadat de eerste inbreuk is gedetecteerd. 

Stap-voor-stap-overzicht 

Hieronder vindt u een gedetailleerde uitleg van elke stap in deze exploit: 

Stap 1: 'Schrijf'-toegang verkrijgen tot een schrijfbare domeincontroller (DC) in een onderliggend domein 

Ten eerste probeert de aanvaller toegang tot het netwerk te krijgen. Dit kan op verschillende manieren, zoals via phishingcampagnes, het uitbuiten van softwarekwetsbaarheden op de computer van een gebruiker of het hacken van een account met beperkte rechten. Om deze aanval te laten slagen, moet het gehackte account 'schrijven' toegang tot een beschrijfbaar domeincontroller (DC) binnen een kinderdomein. 
 

Stap 2: Een frauduleuze Enterprise CA implementeren 

Zodra de aanvaller schrijfrechten heeft voor een DC in het onderliggende domein, kan hij gebruikmaken van de 'Systeem' overmatige rechten van het account binnen de Active Directory-configuratienaamgevingscontext. Deze kwetsbaarheid stelt hen in staat een nieuwe frauduleuze Certificate Authority (CA) binnen het onderliggende domein. Deze frauduleuze CA lijkt legitiem voor andere machines binnen het domein, waardoor de aanvaller later schadelijke certificaten kan uitgeven. 

Hieronder vindt u een gedetailleerd overzicht van hoe de aanvaller de frauduleuze CA implementeert met behulp van PowerShell op de gecompromitteerde DC: 

1. Open een verhoogde PowerShell-prompt (uitvoeren als beheerder)

   • Zoek naar "PowerShell" in het startmenu

     

   • Klik met de rechtermuisknop op “Windows PowerShell” (of “PowerShell”)
   • Selecteer “Uitvoeren als administrator”

   Let op: Mogelijk wordt u gevraagd uw beheerdersreferenties in te voeren. Voer de gebruikersnaam en het wachtwoord in voor het gehackte account met beheerdersrechten.

2. Open een verhoogde PowerShell-prompt (uitvoeren als beheerder)

   Zodra PowerShell in een nieuw venster wordt geopend, kunt u controleren of u over verhoogde rechten beschikt:

   • Zoek naar de titelbalk van het PowerShell-venster. Als er 'Administrator' achter uw gebruikersnaam staat, is het openen van een PowerShell-prompt met verhoogde rechten gelukt.

   • U kunt ook de volgende opdracht uitvoeren.
     `Get-ExecutionPolicy`

     

     Als de uitvoer "RemoteSigned" of "Bypass" weergeeft, hebt u verhoogde rechten. Als de uitvoer "Restricted" of "AllSigned" weergeeft, kunt u de opdrachten die nodig zijn om de frauduleuze CA te implementeren, niet uitvoeren.

3. Voer de cmdlet Install-AdcsCertificationAuthority uit

   Met de volgende opdracht installeert u een nieuwe Enterprise Root CA op de gecompromitteerde DC:

   • Voer de volgende cmdlet-opdracht uit in het PowerShell-venster:
     `Install-WindowsFeature AD-Certificaat, ADCS-Certificaat-Autoriteit -IncludeManagementTools`

     

     Met deze opdracht worden de vereiste Active Directory Server-rollen en -functies op het systeem geïnstalleerd.

   • Voer vervolgens de volgende opdracht uit in het PowerShell-venster:
     `Install-AdcsCertificationAuthority -CAType EnterpriseRootCA -CACommonName “Frauduleuze CA”`

     

   • Druk op Enter en volg de instructies op het scherm.

   • Controleer de CA met behulp van de tool pkihealth.msc en AD-containers.

     

     

     

     De CA is succesvol geregistreerd als een Inschrijvingsdienst in de AD-containerDe malafide CA heeft vertrouwen gecreëerd binnen het Active Directory-forest, waardoor elk lid – gebruikers, computers en zelfs andere domeincontrollers – certificaten kan aanvragen.

Stap 3: Een kwaadaardig certificaatsjabloon maken 

Zodra de valse CA is vastgesteld, kan de aanvaller een kwaadaardige certificaat sjabloon en manipuleren om zichzelf hogere rechten te verlenen, zoals het nabootsen van een Enterprise Admin-account.

Zo kan een aanvaller een kwaadaardig certificaatsjabloon maken: 

1. Open de MMC-module Certificaatsjablonen

   • Typ `certtmpl.msc` in een PowerShell-prompt met verhoogde bevoegdheden en druk op Enter.

     

2. Een kopie maken van de standaardgebruikerssjabloon
   • Klik met de rechtermuisknop op de sjabloon 'Gebruiker'.

   • Selecteer “Sjabloon dupliceren”.

     

     Hiermee wordt een kopie van de standaardgebruikersjabloon gemaakt, die de aanvaller kan aanpassen voor kwaadaardige doeleinden.

3. Configureer de tabbladen Extensies en Onderwerpnaamgevingsinformatie

   De aanvaller zal zich nu richten op het configureren van twee specifieke tabbladen binnen de nieuw aangemaakte sjablooneigenschappen:

   • Tabblad Beveiliging: Hierbij kan de aanvaller de toegang tot certificaten manipuleren om zichzelf ongeautoriseerde rechten te verlenen.

     • Voeg indien nodig het account toe en geef alle machtigingen op: 'Lezen', 'Schrijven' en 'Inschrijven'.

       

   • Tabblad Onderwerpnaaminformatie: Dit tabblad definieert de informatie in het veld Certificaatonderwerp, waarmee de certificaathouder wordt geïdentificeerd. De aanvaller kan dit veld manipuleren om een ​​legitiem Enterprise Admin-account na te bootsen.
     • Selecteer de keuzerond ‘Aanvraag indienen’.

     • Er verschijnt een waarschuwing met de risico's die aan deze instellingen verbonden zijn. Omdat we de stappen van de aanvaller simuleren, kunnen we doorgaan. Klik op 'OK'.

       

4. Voeg het certificaatsjabloon toe aan de certificeringsinstantie
   • Roep de certificeringsinstantie op door `certsrv.msc` uit te voeren in de PowerShell.

   • Vouw de huidige CA uit en klik met de rechtermuisknop op Certificaatsjablonen.

     

   • Klik op Nieuw en selecteer het certificaatsjabloon dat u wilt uitgeven.

   • Selecteer het schadelijke certificaatsjabloon en klik op OK.

     

     Let op: Aanvallers gebruiken vaak de ingebouwde 'Domain Controller'-sjabloon om smartcard-aanmeldingsfunctionaliteit in een heel forest mogelijk te maken. Dit is waarom:

     • Automatische inschrijving: Domeincontrollers zijn geprogrammeerd om automatisch certificaten op te halen die zijn uitgegeven via de sjabloon 'Domeincontroller'. Dit elimineert de noodzaak voor handmatige configuratie of inschrijvingsbeleid, die doorgaans vereist zijn voor andere certificaatsjablonen zoals 'Domeincontrollerauthenticatie' of 'Kerberos-authenticatie'.
     • Wereldwijde smartcard-aanmelding: Door een schadelijk certificaat uit te geven vanuit de domeincontrollersjabloon, kan de aanvaller smartcard-aanmelding inschakelen voor het hele forest zonder afzonderlijke machines te hoeven configureren. Dit vereenvoudigt hun proces en geeft hen bredere toegang.

   Door een kwaadaardige certificaatsjabloon te creëren, legt de aanvaller de basis voor de uitgifte van een certificaat dat hem ongeautoriseerde toegang verleent. Hij kan dit certificaat mogelijk gebruiken om zich voor te doen als een bevoegde gebruiker en controle te krijgen over kritieke domeinbronnen.

Stap 4: Een certificaat uitgeven voor een gericht Enterprise Admin-account 

Met behulp van de gecompromitteerde DC kan de aanvaller een certificaat uitgeven dat is ondertekend door de nep-CA. Dit certificaat moet eruitzien alsof het is uitgegeven voor een legitiem Enterprise Admin-account. De aanvaller kan verschillende certificaatvelden, zoals het 'Onderwerp' (dat de certificaathouder identificeert), manipuleren om een ​​echt Enterprise Admin-account na te bootsen.

De aanvaller gebruikt de volgende stappen om het schadelijke certificaat uit te geven:

1. Open de Microsoft Management Console (MMC)
   • Ga naar het menu 'Start' en zoek naar 'mmc.exe'. Dit opent de Microsoft Management Console.
   • Klik op ‘Bestand’ en vervolgens op ‘Snap-in toevoegen/verwijderen…’.

   • Selecteer in de lijst ‘Beschikbare modules’ de optie ‘Certificaten’ en klik op ‘Toevoegen’.

     

   • Kies “Gebruikersaccount” en klik op “Voltooien”.
   • Klik op “OK” in het venster “Snap-in toevoegen/verwijderen”.

   Nu zou u de module 'Certificaten' in de MMC-consolestructuur moeten zien.

2. Vraag een kwaadaardig certificaat aan
   • Klik in de geopende MMC met de rechtermuisknop op Persoonlijk.

   • Ga naar Alle taken, selecteer 'Nieuw certificaat aanvragen...'

     

   • Klik op Volgende.

   • Navigeer door de wizard en kom de actie 'Certificaten aanvragen' tegen.

     

   • Selecteer het selectievakje van de sjabloon en klik op de waarschuwing.

   • Voeg onder het tabblad Onderwerp in het vak Alternatieve naam de naam 'User Principal Name' toe en stel de waarde in op de UPN van het doelaccount.
     Het formaat moet zijn [e-mail beveiligd]

     

   • Klik op OK. Klik vervolgens op Inschrijven.
   • Klik op Voltooien.
3. Het uitgegeven certificaat ophalen en installeren

   • Zodra de certificaataanvraag is verwerkt, verschijnt deze onder Persoonlijke certificaten.

     

   • Klik met de rechtermuisknop op het nieuw uitgegeven certificaat en selecteer “Alle taken” -> “Exporteren”.

     

   • Kies het PKCS#12 (.PFX)-formaat om het certificaat en de privésleutel samen te exporteren. U moet een sterk wachtwoord opgeven om het geëxporteerde bestand te beveiligen.

     

   De aanvaller beschikt nu over een certificaatbestand dat legitiem lijkt en dat zich voordoet als een bevoegd Enterprise Admin-account.

Stap 5: Het certificaat gebruiken om ongeautoriseerde toegang te verkrijgen met verhoogde privileges 

Nu kan de aanvaller dit vervalste certificaat gebruiken om ongeautoriseerde toegang te krijgen tot domeinbronnen. Omdat het certificaat legitiem lijkt en ondertekend is door een ogenschijnlijk vertrouwde CA (de frauduleuze CA), kan de aanvaller mogelijk beveiligingsmaatregelen omzeilen en toegang krijgen tot bronnen die normaal gesproken alleen toegankelijk zijn voor beheerders van ondernemingen. Dit stelt hen in staat om zich binnen het netwerk te verplaatsen, gevoelige gegevens te stelen of kritieke processen te verstoren. 

Waarom deze aanval werkt 

Deze aanval maakt gebruik van de standaardconfiguratie van AD CS, waarbij het 'Systeem'-account volledige controlerechten heeft binnen de Active Directory Configuration NC. Deze overmatige rechten stellen aanvallers in staat om "schrijven" toegang tot een DC om kritieke AD-objecten te manipuleren met verhoogde rechten.

Uw AD-omgeving beveiligen 

Er zijn talloze preventieve maatregelen die u kunt nemen om uw AD-verdediging te beschermen en deze exploits te voorkomen. Dit zijn de meest voorkomende en effectieve stappen die u vandaag nog kunt nemen om uw AD-omgeving te beschermen: 

• Implementeer de minste privileges: Geef gebruikers en systemen alleen de minimale rechten die ze nodig hebben om hun taken uit te voeren. Dit vermindert de impact als een aanvaller toegang krijgt tot een gecompromitteerd account. 
• Minimaliseer machtigingen op de ADSI: Beperk schrijftoegang tot de Active Directory Service Interface Configurations tot geautoriseerde beheerders en domeincontrollers afkomstig uit het forest-hoofddomein. 
• AD-activiteit bewaken en controleren: Controleer actief op verdachte activiteiten, zoals ongeautoriseerde toegangspogingen tot DC's, wijzigingen aan de CNC of het aanmaken van frauduleuze CA's. 
• Systemen snel patchen: Het is cruciaal om kwetsbaarheden in AD en gerelateerde services snel te patchen. Houd uw AD-omgeving en gerelateerde software up-to-date met de nieuwste beveiligingspatches om bekende kwetsbaarheden te verhelpen. 
• Implementeer Multi-Factor Authenticatie (MFA): MFA voegt een extra beveiligingslaag toe door naast een gebruikersnaam en wachtwoord nog een tweede factor te vereisen om toegang te krijgen tot gevoelige bronnen. 
• Gebruikers opleiden: Train uw gebruikers om waakzaam te zijn tegen phishing aanvallen en andere social engineering-tactieken die gebruikt kunnen worden om als eerste toegang tot uw netwerk te krijgen.

Conclusie 

Het is belangrijk dat we onthouden dat deze voortdurende technologische vooruitgang ook ruimte laat voor kwetsbaarheden in de omgeving. De meest effectieve strategie op de lange termijn is er een waarbij organisaties zoals de uwe een proactieve aanpak hanteren door hun infrastructuur voortdurend te controleren, kwetsbaarheden te beoordelen en risicofactoren te minimaliseren.

Houd daarom altijd uw architectuur in de gaten en neem sterke authenticatie, toestemmingscontrole, netwerksegmentatie en gebruikerseducatie op in uw beveiligingsstrategie om dergelijke externe aanvallen onschadelijk te maken.

Hoe encryptie Consulting kan helpen

At Encryptie ConsultingWij zijn gespecialiseerd in het helpen van organisaties zoals de uwe bij het identificeren en beperken van beveiligingsrisico's door middel van op maat gemaakte PKI-beoordelingenOns team van experts kan een strategie op maat bieden om uw PKI-architectuur te beschermen tegen opkomende bedreigingen, zodat uw gegevens en infrastructuur veilig blijven.

Ons volledige assortiment Public Key Infrastructure (PKI)-diensten helpt u uw digitale activa te beschermen en de algehele beveiligingshouding van uw organisatie te verbeteren,

Voor degenen die op zoek zijn naar een hands-off oplossing, bieden wij onze PKI als een service (PKIaaS) biedt alle voordelen van PKI zonder de last van intern beheer. Wij garanderen vier parameters:

• schaalbaarheid: Wij helpen uw PKI-infrastructuur groeien naarmate uw bedrijf groeit.
• Kost efficiëntie: Wij verlagen de overheadkosten door het onderhoud van de infrastructuur uit te besteden.
• Beveiliging: Wij zorgen ervoor dat uw organisatie compliant en veilig blijft met up-to-date PKI-beheer.
• Nakoming: Wij zorgen ervoor dat uw oplossing voldoet aan alle wettelijke vereisten.

Met PKIaaS van Encryption Consulting, kunt u zich concentreren op uw kernactiviteiten terwijl wij de complexiteit van PKI-beheer afhandelen. Laat ons u de gemoedsrust bieden die voortkomt uit de wetenschap dat uw digitale vertrouwens- en beveiligingsbehoeften in deskundige handen zijn. Neem vandaag nog contact met ons op via [e-mail beveiligd] om te ontdekken hoe wij uw organisatie kunnen helpen beschermen tegen cyberdreigingen.