Aðvörun - Active Directory Certificate Services

Active Directory Certificate Services hefur verið til í langan tíma - þjónusta sem eflaust margir vita af en í raun vita lítið um. Flestir gera ráð fyrir að AD CS sé örugg þjónusta þar sem hún á að tryggja örugg samskipti á milli aðila sem nota þessa þjónustu.

Þegar betur er að gáð þá er þjónustan sjálf rangt stillt í upphaflegri uppsetningu beint frá Microsoft. Auk þess er algengt að kerfisstjórar hafa sett inn réttindi á sniðmát (e. template) í AD CS sem gera meinfýsnum aðilum, sem eru með aðgang að léninu (e. Active Directory domain), auðvelt fyrir að sækja skírteini og misnota þau til þessa að auðkenna sig sem annar aðili.

Þessar röngu stillingar geta valdið því að venjulegur notandi með lágmarksréttindi á léni getur búið sér til skírteini í nafni hvaða notanda sem er, þar með talinn Domain Admin. Í flestum tilfellum er hægt að nota það skírteini til að auðkenna sig í eitt ár eftir að það hefur verið gefið út. Engu máli skiptir hvort lykilorði notandans sé breytt, áfram er hægt að nota skírteinið til auðkenningar.

Syndis tók að beina sjónum sínum að þessari þjónustu vorið 2022 eftir að hafa fengið beiðni frá viðskiptavini um að skoða AD CS þjónustu sem var keyrandi á léni viðkomandi viðskiptavinar. Syndis fór á stúfana og komst að því að það er í raun mjög einfalt að misnota AD CS ef þjónustan er með sniðmát sem er með rangar stillingar. Á BlackHat ráðstefnunni í Ágúst 2021 komu öryggissérfræðingar hjá SpecterOps fram og kynntu rannsókn sína á AD CS, sem lauk í Júni sama ár. Þar komu fram ýmsar aðferðir við að misnota algengar vanstillingar á AD CS sem og útlistun á því hvernig hægt væri að misnota þessar stillingar. Sem dæmi var sýnt fram á það að hægt er að misnota AD CS ef þjónustan er stillt á ákveðinn hátt sem gerir meinfýsnum aðila kleift að bæði misnota þjónustuna og gefa út skírteini í nafni þeirra sem hafa mikil réttindi innan kerfisins. Hægt væri að nota þau skírteini til að komast yfir viðkvæm gögn og innviði fyrirtækja.

Eftir að hafa kynnt sér málið gerði Syndis tilraun til þessa að misnota þessa þjónustu á kerfi viðskiptavinar. Í ljós kom að það er mjög einfalt að yfirtaka lénið og innviði viðskiptavina með þessum hætti. Sem dæmi, eftir að hafa komist inn á lén þar sem AD CS var þjónustan var í notkun, náði Syndis fullum réttindum á léninu eftir aðeins nokkrar mínútur með því að misnota vanstillingar í AD CS þjónustunni. Í þessum tilraunum gaf viðskiptavinur Syndis aðgengi að netumhverfi sínu og réttindalítinn notanda í því léni. Með lítilli fyrirhöfn gat þessi réttindalausi notandi hækkað réttindi sín upp í Domain Admin réttindi á léninu í gegnum skírteini sem var sótt í nafni notanda sem hafði slík réttindi.

Eftir að hafa skoðað AD CS uppsetningar hjá nokkrum viðskipavinum Syndis þá er það morgun ljóst að þessi þjónusta er í lang flestum tilvikum rangt stillt. Þegar þessi færsla er skrifuð hefur Syndis tekist að taka yfir lén viðskiptavina í nær öllum úttektum þar sem Syndis hefur reynt að misnota AD CS með þessum hætti. Með öðrum orðum hafa nær allar AD CS uppsetningar, sem Syndis hefur skoðað eftir að þessir veikleikar komu í ljós, verið með stillingar sem gera meinfýsnum aðilum kleift að taka yfir lénið. Allir rekstraraðilar svona kerfa ættu að huga að og kynna sér sem fyrst hvernig hægt er að laga þá vankanta sem fylgja þessari þjónustu.

Best er fyrir fyrirtæki og rekstraraðila að kynna sér vel þessa þjónustu og hvort hún er keyrandi á þeirra kerfum. Nánari upplýsingar um þessa galla má finna hér að neðan.

• Kynning SpecterOps á BlackHat
• Grein SpecterOps um AD CS
• Heildarskýrslan