Ερευνητές ασφαλείας ανακάλυψαν κρίσιμα ελαττώματα στις υπηρεσίες πιστοποιητικών Microsoft Active Directory (AD CS), που θα μπορούσαν να επιτρέψουν μόνιμη πρόσβαση στους χάκερ σε παραβιασμένα δίκτυα.
Δείτε επίσης: Οι hackers της WazirX “κρύβουν” τα κλεμμένα crypto μέσω του Tornado Cash
Τα ευρήματα, που περιγράφονται λεπτομερώς σε μια περιεκτική έρευνα από τους Will Schroeder και Lee Christensen, αποκαλύπτουν πώς οι εσφαλμένες διαμορφώσεις Active Directory CS μπορούν να αξιοποιηθούν για κλοπή διαπιστευτηρίων, κλιμάκωση προνομίων και μόνιμη πρόσβαση.
Το AD CS, η εφαρμογή της Microsoft για την Υποδομή Δημοσίου Κλειδιού (PKI) σε περιβάλλοντα Active Directory, αναπτύσσεται ευρέως, αλλά συχνά παραβλέπεται από άποψη ασφάλειας.
Η Microsoft λέει ότι το Active Directory Certificate Services (AD CS) “σας επιτρέπει να δημιουργήσετε μια υποδομή δημόσιου κλειδιού (PKI) και να παρέχετε κρυπτογράφηση δημόσιου κλειδιού, ψηφιακά πιστοποιητικά και δυνατότητες ψηφιακής υπογραφής για τον οργανισμό σας.“
Δείτε ακόμα: Νεαροί gamers στο στόχαστρο hackers – Τα πιο “επικίνδυνα” παιχνίδια
Οι ερευνητές εντόπισαν αρκετούς χάκερ που αξιοποιούν τα στοιχεία του Active Directory CS για μόνιμη πρόσβαση:
- Certificate Theft: Οι εισβολείς μπορούν να εξάγουν πιστοποιητικά χρήστη και μηχανήματος, συμπεριλαμβανομένων των ιδιωτικών κλειδιών τους, από παραβιασμένα συστήματα. Αυτό επιτρέπει την πλαστοπροσωπία χρηστών και μηχανών για σκοπούς ελέγχου ταυτότητας.
- Malicious Certificate Enrollments: Οι χρήστες με χαμηλά προνόμια μπορούν ενδεχομένως να εγγραφούν σε πρότυπα πιστοποιητικών που παρέχουν αυξημένα δικαιώματα, οδηγώντας σε κλιμάκωση τομέα.
- Certificate Template Misconfigurations: Ορισμένες ρυθμίσεις προτύπου, όπως η δυνατότητα στους αιτούντες να καθορίζουν Subject Alternative Names (SAN), μπορεί να καταχραστεί για να ζητηθούν πιστοποιητικά για οποιονδήποτε χρήστη στον τομέα, συμπεριλαμβανομένων των διαχειριστών.
- EDITF_ATTRIBUTESUBJECTALTNAME2 Flag: Εάν είναι ενεργοποιημένη σε μια Αρχή έκδοσης πιστοποιητικών (CA), αυτή η ρύθμιση επιτρέπει στους εισβολείς να καθορίζουν αυθαίρετα SAN σε αιτήματα πιστοποιητικών, γεγονός που ενδεχομένως οδηγεί σε κλιμάκωση των προνομίων.
- CA Private Key Theft: Η παραβίαση του ιδιωτικού κλειδιού μιας CA επιτρέπει στους εισβολείς να πλαστογραφούν πιστοποιητικά στον τομέα, παρέχοντας μόνιμη πρόσβαση που δεν μπορεί εύκολα να ανακληθεί.
Ένα από τα πιο σοβαρά σενάρια περιλαμβάνει την εκμετάλλευση προτύπων πιστοποιητικών που δεν έχουν ρυθμιστεί σωστά. Ας υποθέσουμε ότι ένα πρότυπο επιτρέπει στους αιτούντες να καθορίζουν SAN και έχει μια εκτεταμένη χρήση κλειδιού (EKU) που επιτρέπει τον έλεγχο ταυτότητας τομέα. Σε αυτήν την περίπτωση, ένας εισβολέας μπορεί να ζητήσει πιστοποιητικό για οποιονδήποτε χρήστη, συμπεριλαμβανομένων των διαχειριστών τομέα. Αυτό ουσιαστικά εκχωρεί στον εισβολέα δικαιώματα διαχειριστή.
Δείτε επίσης: Βορειοκορεάτες hackers διανέμουν το COVERTCATCH malware
Η μόνιμη πρόσβαση (Persistence), αναφέρεται στην ικανότητα ενός εισβολέα να διατηρεί την πρόσβαση σε ένα παραβιασμένο σύστημα με την πάροδο του χρόνου, ακόμη και μετά από προσπάθειες εντοπισμού και αποκατάστασης. Αυτή η τεχνική συχνά περιλαμβάνει την ανάπτυξη διαφόρων μεθόδων για την αποφυγή μέτρων ασφαλείας, όπως η χρήση κρυφών backdoors, η δημιουργία ψεύτικων λογαριασμών χρηστών ή η επανεγκατάσταση κακόβουλου λογισμικού. Η κατανόηση και η αντιμετώπιση της επιμονής είναι κρίσιμης σημασίας για οργανισμούς που στοχεύουν στην προστασία της ψηφιακής τους υποδομής. Οι αποτελεσματικές στρατηγικές περιλαμβάνουν τακτικούς ελέγχους ασφαλείας, συνεχή παρακολούθηση για ασυνήθιστες δραστηριότητες και εφαρμογή ισχυρών σχεδίων αντιμετώπισης συμβάντων που εξουδετερώνουν γρήγορα τις απειλές και εξαλείφουν τη μη εξουσιοδοτημένη πρόσβαση.
Πηγή: cybersecuritynews
