Säkra Active Directory: Förhindra privilegieeskalering via AD CS

Datasäkerhetsbranschen är en av de snabbast växande sektorerna i världen och med dessa ständiga framsteg fortsätter riskerna för sårbarheter att öka. Det är avgörande för organisationer att ha en proaktiv strategi för dataskydd genom att inte bara bedöma utan också effektivt hantera dessa sårbarheter för att förbättra säkerheten mot cyberhot.

En sådan allvarlig sårbarhet finns inom Active Directory-certifikattjänster (AD CS) som angripare kan utnyttja. Denna sårbarhet ger en bakdörr för attacker att utöka deras privilegier från en underordnad domänadministratör till en företagsadministratörsnivå över hela skogen.  

Vår blogg ger dig all information du behöver om sårbarheten inom AD Certificate Services (AD CS) som kan utnyttjas för att utöka domänadministratörsbehörigheter. Vi kommer att utforska metoder för att eliminera denna risk genom att förstå sårbarheten för att hjälpa dig att skydda din AD-miljö. 

Förutsättningar

Det första steget är att bygga upp en god förståelse för AD-strukturen. Denna attack riktar sig specifikt mot Active Directory med en skog som innehåller en förälderdomän (även kallad rotdomänen) och en eller flera underdomäner. 

I det här exempelscenariot innehåller miljön två domäner: 

1. Överordnad domän: EnconPKI.com
2. Underdomän: Child.EnconPKI.com

Obs: Den överordnade domänen (EnconPKI.com) är konfigurerad med ett fullt fungerande AD CS PKI Miljö, medan den underordnade domänen (Child.EnconPKI.com) endast innehåller en skrivbar domänkontrollant. 

Förstå AD CS Eskalering av Privilegieattack  

Utnyttjandet börjar med att en angripare får initial åtkomst till ett system inom nätverket. Om det komprometterade systemet tillhör en användare med domänadministratörsbehörighet för en underdomän, kan angriparen potentiellt utöka deras åtkomst till företagsadministratörsbehörigheter i hela skogen. 

Denna kompromiss skulle kunna ge dem fullständig kontroll över hela Active Directory-miljön, inklusive möjligheten att: 

• Dataintrång: Angriparen kan stjäla känsliga uppgifter lagrade i Active Directory, såsom användarnamn, lösenord och finansiell information. 
• Avbruten verksamhet: Angriparen kan manipulera kritiska Active Directory-objekt och störa viktiga nätverkstjänster och applikationer. 
• Sidorörelse: Angriparen kan utnyttja sina utnyttjade privilegier för att röra sig lateralt över nätverket, vilket komprometterar ytterligare system och eskalerar sin kontroll. 
• Permanent åtkomst: Angriparen kan skapa nya användarkonton med permanent administrativ åtkomst, vilket gör att de kan kontrollera miljön även efter att den initiala komprometteringen har upptäckts. 

Steg-för-steg-uppdelning 

Här är en detaljerad förklaring av varje steg som ingår i detta utnyttjande: 

Steg 1: Få skrivåtkomst till en skrivbar domänkontrollant (DC) i en underdomän 

Först försöker angriparen etablera initial åtkomst till nätverket. Detta kan uppnås på olika sätt, såsom nätfiskekampanjer, utnyttjande av programvarusårbarheter på en användares maskin eller kompromettering av ett konto med låg privilegium. För att denna attack ska fungera måste det komprometterade kontot ha 'skriva' tillgång till en skrivbar domänkontrollant (DC) inom en underdomän. 
 

Steg 2: Implementera en bedräglig företags-CA 

När angriparen har skrivbehörighet till en domänkontrollant i den underordnade domänen kan de utnyttja 'Systemkrav'-kontots överdrivna behörigheter inom Active Directory-konfigurationens namngivningskontext. Denna sårbarhet gör det möjligt för dem att skapa en ny skurk. Certifikatmyndighet (CA) inom underdomänen. Denna bedrägliga certifikatutfärdare verkar vara legitim för andra maskiner inom domänen, vilket gör att angriparen kan utfärda skadliga certifikat senare. 

Här är en detaljerad genomgång av hur angriparen distribuerar den oseriösa CA:n med PowerShell på den komprometterade domänkontrollanten: 

1. Öppna en upphöjd PowerShell-prompt (Kör som administratör)

   • Sök efter "PowerShell" i Start-menyn

     

   • Högerklicka på "Windows PowerShell" (eller "PowerShell")
   • Välj "Kör som administratör"

   Obs: Du kan bli ombedd att ange dina administratörsuppgifter. Ange användarnamnet och lösenordet för det komprometterade kontot med administratörsbehörighet.

2. Öppna en upphöjd PowerShell-prompt (Kör som administratör)

   När PowerShell öppnas i ett nytt fönster kan du kontrollera om du har förhöjda rättigheter:

   • Leta efter titelfältet i PowerShell-fönstret. Om det visas "Administratör" efter ditt användarnamn har du öppnat en förhöjd PowerShell-prompt.

   • Alternativt kan du köra följande kommando.
     `Hämta-körningspolicy`

     

     Om utdata visar ”RemoteSigned” eller ”Bypass” har du förhöjda rättigheter. Om det visas ”Restricted” eller ”AllSigned” kommer du inte att kunna köra de kommandon som behövs för att driftsätta den bedrägliga certifikatutfärdaren.

3. Kör cmdlet:en Install-AdcsCertificationAuthority

   Följande kommando installerar en ny Enterprise Root CA på den komprometterade domänkontrollanten:

   • Kör följande cmdlet-kommando i PowerShell-fönstret:
     `Installera-WindowsFeature AD-certifikat, ADCS-certifikatauktoritet -Inkluderahanteringsverktyg`

     

     Det här kommandot installerar de nödvändiga Active Directory Server-rollerna och funktionerna på systemet.

   • Kör sedan följande kommando i PowerShell-fönstret:
     `Install-AdcsCertificationAuthority -CAType EnterpriseRootCA -CACommonName “Bedräglig CA”`

     

   • Tryck på Enter och följ alla anvisningar på skärmen.

   • Verifiera certifikatutfärdaren med hjälp av verktyget pkihealth.msc och AD-containrar.

     

     

     

     CA har framgångsrikt registrerats som en Registreringstjänst i AD-behållareDen oseriösa certifikatutfärdaren har etablerat förtroende inom Active Directory-skogen, vilket gör det möjligt för alla medlemmar – användare, datorer och till och med andra domänkontrollanter – att begära certifikat från den.

Steg 3: Skapa en mall för skadligt certifikat 

När den falska CA:n har etablerats kan angriparen utforma en skadlig certifikat mallen och manipulera den för att ge sig själva utökade behörigheter, till exempel att imitera ett företagsadministratörskonto.

Så här kan angriparen skapa en mall för skadligt certifikat: 

1. Öppna MMC-snapin-modulen för certifikatmallar

   • Från en förhöjd PowerShell-prompt skriver du `certtmpl.msc` och trycker på Enter.

     

2. Skapa en kopia av standardanvändarmallen
   • Högerklicka på mallen "Användare".

   • Välj "Duplicera mall".

     

     Detta skapar en kopia av standardanvändarmallen som angriparen kan ändra i skadliga syften.

3. Konfigurera flikarna Anknytningar och Information om ämnesnamn

   Angriparen kommer nu att fokusera på att konfigurera två specifika flikar i de nyskapade mallegenskaperna:

   • Fliken Säkerhet: Här kan angriparen manipulera certifikatåtkomst för att ge sig själva obehöriga behörigheter.

     • Lägg till kontot om det behövs och ange alla behörigheter – "Läs", "Skriv" och "Registrera".

       

   • Fliken Information om ämnesnamn: Den här fliken definierar informationen i certifikatets ämnesfält och identifierar certifikatinnehavaren. Angriparen kan manipulera det här fältet för att imitera ett legitimt Enterprise Admin-konto.
     • Välj alternativknappen "Leverans i begäran".

     • En varning visas som anger risken som är förknippad med dessa inställningar. Eftersom vi simulerar angriparens steg kan vi fortsätta. Klicka på "OK".

       

4. Lägg till certifikatmallen till certifikatutfärdaren
   • Öppna certifikatutfärdaren genom att köra `certsrv.msc` i PowerShell.

   • Expandera den aktuella certifikatutfärdaren och högerklicka på Certifikatmallar.

     

   • Klicka på Nytt, välj certifikatmall att utfärda.

   • Välj den skadliga certifikatmallen och klicka på OK.

     

     Obs: Angripare använder ofta den inbyggda mallen "Domänkontrollant" för att aktivera inloggningsfunktioner för smartkort i en hel skog. Här är anledningen:

     • Automatisk registrering: Domänkontrollanter är programmerade att automatiskt hämta certifikat som utfärdats från mallen "Domänkontrollant". Detta eliminerar behovet av manuell konfiguration eller registreringspolicyer som vanligtvis krävs för andra certifikatmallar som "Domänkontrollantautentisering" eller "Kerberos-autentisering".
     • Global smartkortsinloggning: Genom att utfärda ett skadligt certifikat från domänkontrollantmallen kan angriparen aktivera smartkortsinloggning för hela skogen utan att behöva konfigurera enskilda maskiner. Detta förenklar processen och ger dem bredare åtkomst.

   Genom att skapa en skadlig certifikatmall lägger angriparen grunden för att utfärda ett certifikat som ger dem obehörig åtkomst. De kan potentiellt använda detta certifikat för att utge sig för att vara en privilegierad användare och få kontroll över kritiska domänresurser.

Steg 4: Utfärda ett certifikat för ett riktat företagsadministratörskonto 

Med hjälp av den komprometterade domänkontrollanten kan angriparen utfärda ett certifikat som signerats av den falska certifikatutfärdaren. Detta certifikat är avsett att se ut som om det utfärdades för ett legitimt företagsadministratörskonto. Angriparen kan manipulera olika certifikatfält, som "Ämne" (som identifierar certifikatinnehavaren), för att imitera ett riktigt företagsadministratörskonto.

Följande steg används av angriparen för att utfärda det skadliga certifikatet:

1. Öppna Microsoft Management Console (MMC)
   • Navigera till "Start-menyn" och sök efter "mmc.exe". Detta öppnar Microsoft Management Console.
   • Klicka på "Arkiv" och sedan på "Lägg till/ta bort snap-in...".

   • I listan "Tillgängliga snapin-moduler" väljer du "Certifikat" och klickar på "Lägg till".

     

   • Välj "Användarkonto" och klicka på "Slutför".
   • Klicka på "OK" i fönstret "Lägg till/ta bort snap-in".

   Nu bör du se snapin-modulen "Certifikat" listad i MMC-konsolträdet.

2. Begär ett skadligt certifikat
   • I den öppnade MMC-filen högerklickar du på Personligt.

   • Gå till Alla uppgifter, välj "Begär nytt certifikat..."

     

   • Klicka på Nästa.

   • Navigera genom guiden, åtgärden "Begär certifikat" påträffas.

     

   • Markera mallens kryssruta och klicka på aviseringen.

   • Under fliken Ämne, i rutan Alternativt namn, lägg till "Användarens huvudnamn" och ange värdet som målkontots UPN.
     Formatet måste vara [e-postskyddad]

     

   • Klicka på OK. Klicka sedan på Registrera.
   • Klicka på Slutför.
3. Hämta och installera det utfärdade certifikatet

   • När certifikatbegäran har behandlats visas den under Personliga certifikat.

     

   • Högerklicka på det nyligen utfärdade certifikatet och välj "Alla uppgifter" -> "Exportera".

     

   • Välj formatet PKCS#12 (.PFX) för att exportera certifikatet och den privata nyckeln tillsammans. Du måste ange ett starkt lösenord för att skydda den exporterade filen.

     

   Nu har angriparen en certifikatfil som verkar legitim och utger sig för att vara ett privilegierat företagsadministratörskonto.

Steg 5: Använda certifikatet för att få obehörig åtkomst med utökade behörigheter 

Nu kan angriparen utnyttja detta förfalskade certifikat för att få obehörig åtkomst till domänresurser. Eftersom certifikatet verkar legitimt och signerat av en till synes betrodd CA (den bedrägliga CA:n), kan angriparen potentiellt kringgå säkerhetsåtgärder och få åtkomst till resurser som vanligtvis är begränsade till företagsadministratörer. Detta gör det möjligt för dem att röra sig i sidled inom nätverket, stjäla känsliga data eller störa kritiska operationer. 

Varför denna attack fungerar 

Denna attack utnyttjar standardkonfigurationen för AD CS, där kontot "System" har fullständiga behörigheter inom Active Directory Configuration NC. Denna överdrivna behörighet tillåter angripare med "skriva" åtkomst till en domänkontrollant för att manipulera kritiska AD-objekt med utökade behörigheter.

Säkra din AD-miljö 

Det finns så många förebyggande åtgärder man kan vidta för att skydda sitt AD-försvar och förhindra dessa exploateringar. Här är de vanligaste och mest effektiva stegen du kan vidta för att skydda din AD-miljö idag: 

• Implementera minsta privilegium: Ge användare och system endast de behörigheter de behöver för att utföra sina uppgifter. Detta minskar effekten om en angripare får tillgång till ett komprometterat konto. 
• Minimera behörigheter på ADSI: Begränsa skrivåtkomst till Active Directory Service Interface-konfigurationerna till behöriga administratörer och domänkontrollanter som kommer från skogens rotdomän. 
• Övervaka och granska AD-aktivitet: Övervaka aktivt misstänkta aktiviteter som obehöriga åtkomstförsök till DC, modifieringar av CNC:n eller skapandet av otillåtna CA:er. 
• Uppdatera systemen omedelbart: Det är avgörande att snabbt åtgärda sårbarheter i AD och relaterade tjänster. Håll din AD-miljö och relaterad programvara uppdaterade med de senaste säkerhetsuppdateringarna för att åtgärda kända sårbarheter. 
• Implementera multifaktorautentisering (MFA): MFA lägger till ett extra säkerhetslager genom att kräva en andra faktor utöver bara ett användarnamn och lösenord för att komma åt känsliga resurser. 
• Utbilda användare: Utbilda dina användare att vara vaksamma mot nätfiske attacker och andra sociala ingenjörskonsttaktik som kan användas för att få initial åtkomst till ditt nätverk.

Slutsats 

Det är viktigt för oss att komma ihåg att dessa kontinuerliga tekniska framsteg också kommer att lämna utrymme för sårbarheter i miljön och den mest effektiva långsiktiga strategin är en där organisationer som er antar en proaktiv strategi genom att kontinuerligt övervaka er infrastruktur, bedöma sårbarheterna och minimera riskfaktorer.

Så kom alltid ihåg att kontinuerligt övervaka din arkitektur och inkludera stark autentisering, behörighetskontroll, nätverkssegmentering och användarutbildning i din säkerhetsstrategi för att göra sådana externa attacker ineffektiva.

Hur kryptering Konsultation kan hjälpa

At Krypteringskonsulting, vi specialiserar oss på att hjälpa organisationer som din att identifiera och minska säkerhetsrisker genom skräddarsydda PKI-bedömningarVårt expertteam kan erbjuda en skräddarsydd strategi för att skydda er PKI-arkitektur från nya hot, vilket säkerställer att era data och infrastruktur förblir säkra.

Vårt kompletta sortiment av PKI-tjänster (Public Key Infrastructure) hjälper dig att skydda dina digitala tillgångar och förbättra din organisations övergripande säkerhetsställning,

För dig som söker en praktisk lösning, vår PKI som en tjänst (PKIaaS) levererar alla fördelar med PKI utan bördan av intern hantering. Vi ser till att tillhandahålla fyra parametrar:

• skalbarhet: Vi hjälper er PKI-infrastruktur att växa i takt med att er verksamhet expanderar.
• Kostnadseffektivitet: Vi minskar omkostnaderna genom att avlasta underhållet av infrastrukturen.
• Säkerhet: Vi säkerställer att din organisation förblir säker och efterlever gällande regelverk med uppdaterad PKI-hantering.
• efterlevnad: Vi säkerställer att din lösning uppfyller alla myndighetskrav.

Med Krypteringskonsultföretagets PKIaaS, kan du fokusera på din kärnverksamhet medan vi hanterar komplexiteten i PKI-hantering. Låt oss ge dig den sinnesro som kommer av att veta att dina digitala förtroende- och säkerhetsbehov är i experthänder. Kontakta oss idag på [e-postskyddad] för att utforska hur vi kan hjälpa er organisation att hålla sig säker mot cyberhot.