Уязвимость в Active Directory Certificate Services позволяет злоумышленникам повысить привилегии

В системе Active Directory Certificate Services (AD CS) компании Microsoft была обнаружена критическая уязвимость. Эта уязвимость позволяет злоумышленникам повышать привилегии в системе и даже получать контроль на уровне администратора домена.

Уязвимость была выявлена компанией TrustedSec в октябре 2024 года и получила название ESC15 или EKUwu. Она зарегистрирована под кодом CVE-2024-49019. Проблема в основном затрагивает конфигурации AD CS, использующие шаблоны сертификатов версии 1.

Механизм уязвимости ESC15

Уязвимость связана с особенностью обработки запросов на сертификаты системой AD CS. Злоумышленники могут модифицировать стандартные файлы Certificate Signing Request (CSR), чтобы манипулировать атрибутами Extended Key Usage (EKU) в сертификатах. В результате они могут создавать сертификаты с повышенными привилегиями, такими как:

• Аутентификация клиента (Client Authentication);
• Агент запроса сертификатов (Certificate Request Agent);
• Подпись кода (Code Signing).

Особое беспокойство вызывает возможность эксплуатации широко используемого шаблона WebServer. Хотя этот шаблон обычно не предназначен для аутентификации клиента, уязвимость позволяет злоумышленникам добавлять необходимые привилегии, что может привести к компрометации всего домена.

Решение от Microsoft

Компания Microsoft признала, что эта уязвимость имеет высокий потенциал для эксплуатации в будущем, и настоятельно рекомендовала организациям немедленно принять меры для защиты своих систем. Для устранения проблемы Microsoft выпустила официальное обновление безопасности в рамках Patch Tuesday 12 ноября 2024 года.

Рекомендуемые меры защиты

Для обеспечения безопасности систем AD CS рекомендуется принять следующие меры:

1. Пересмотреть и ограничить права доступа к шаблонам сертификатов.
2. Удалить неиспользуемые шаблоны сертификатов.
3. Внедрить дополнительные меры защиты для запросов сертификатов, такие как дополнительные подписи или процедуры утверждения.
4. Провести аудит всех сертификатов, выданных с использованием шаблонов версии 1, чтобы выявить несанкционированные EKU или необычные имена субъектов.

Заключение

Уязвимости в системах AD CS, включая ESC15, подчеркивают важность правильной настройки корпоративных систем PKI (Public Key Infrastructure) и регулярного проведения проверок безопасности. Организациям необходимо постоянно обеспечивать защиту своей инфраструктуры Active Directory и быть в курсе новых угроз.

Команды по кибербезопасности должны оперативно устранять уязвимости, такие как ESC15, и принимать комплексные меры для обеспечения безопасности систем AD CS.