Active Directory Certificate Services’da aniqlangan zaiflik hujumchilarga huquqlarni oshirishga imkoniyat yaratadi

Microsoft kompaniyasining Active Directory Certificate Services (AD CS) tizimida xavfli zaiflik aniqlandi. Ushbu zaiflik hujumchilarga tizimda huquqlarni oshirish va hatto domen administrator darajasida nazoratni qo‘lga kiritish imkonini beradi.

Mazkur zaiflik 2024-yil oktabr oyining boshlarida TrustedSec tomonidan aniqlanib, “ESC15” yoki EKUwu nomi bilan mashhur bo‘ldi. Zaiflik rasmiy ravishda CVE-2024-49019 nomi bilan kuzatilmoqda. Bu muammo asosan 1-versiya sertifikat shablonlaridan foydalanadigan AD CS konfiguratsiyalariga ta’sir ko‘rsatadi.

ESC15 zaifligining mexanizmi

Zaiflik, AD CS tomonidan sertifikat talablarini qanday qayta ishlashi jarayonidagi muammolardan foydalanadi. Hujumchilar, odatiy Certificate Signing Request (CSR) fayllarini o‘zgartirib, sertifikatlarda Extended Key Usage (EKU) atributlarini manipulyatsiya qilishi mumkin. Natijada, hujumchilar quyidagi kabi yuqori huquqli sertifikatlarni yaratish imkoniyatiga ega bo‘lishadi:

  • Mijoz autentifikatsiyasi (Client Authentication),
  • Sertifikat talab agenti (Certificate Request Agent),
  • Kodlarni imzolash huquqlari (Code Signing).

Ayniqsa, keng tarqalgan WebServer shablonining ekspluatatsiya qilinishi xavotir uyg‘otmoqda. Ushbu shablon odatda mijoz autentifikatsiyasi uchun mo‘ljallanmagan bo‘lsa-da, zaiflikdan foydalanib hujumchilar unga kerakli huquqlarni qo‘shib, butun domen xavfsizligini buzishlari mumkin.

Microsoft muammoni hal qildi

Microsoft kompaniyasi ushbu zaiflik kelajakda keng ko‘lamda ekspluatatsiya qilinishi mumkinligini ta’kidlab, tashkilotlarni o‘z tizimlarini himoya qilish uchun zudlik bilan choralar ko‘rishga chaqirdi. ESC15 zaifligini bartaraf etish uchun Microsoft 2024-yil 12-noyabrda Patch Tuesday yangilanishlari doirasida rasmiy xavfsizlik yangilanishlarini chiqardi.

himoya choralari

AD CS tizimlarini xavfsiz saqlash uchun quyidagi choralarni ko‘rish tavsiya etiladi:

  1. Sertifikat shablonlariga kirish huquqlarini qayta ko‘rib chiqish va ularni cheklash.
  2. Foydalanilmayotgan sertifikat shablonlarini tizimdan o‘chirish.
  3. Sertifikat talablariga qo‘shimcha xavfsizlik choralarini, masalan, qo‘shimcha imzo yoki tasdiqlash jarayonlarini joriy qilish.
  4. Sertifikatlarning auditini amalga oshirish – 1-versiya shablonlarida chiqarilgan sertifikatlarni tekshirib, ularda nomaqbul EKUlar yoki g‘ayritabiiy subyekt nomlari mavjudligini aniqlash.

AD CS tizimlaridagi zaifliklar, xususan ESC15, korporativ PKI (Public Key Infrastructure) tizimlarini to‘g‘ri sozlash va muntazam xavfsizlik tekshiruvlarining ahamiyatini yana bir bor isbotladi. Tashkilotlar o‘z Active Directory infratuzilmasini himoya qilishda doimiy hushyorlikni saqlashlari, yangi xavf-xatarlar haqida doimo xabardor bo‘lib turishlari lozim.

Kiberxavfsizlik jamoalari ESC15 kabi zaifliklarni bartaraf etishda tezkorlik bilan ishlashi va AD CS tizimlarini keng qamrovli himoya qilish choralarini ko‘rishlari zarur.

Skip to content