Kritična ranjivosti u Active Directory Certificate Servicesu i kako je izbjeći


U petak, 23. srpnja, svijet je saznao za novu ranjivost u Active Directory Certificate Servicesu. Radi se o kritičnoj ranjivosti koja omogućava malicioznom akteru da u potpunosti preuzme Windows domenu koja vrti ADCS servis.

U osnovi, radi se o lančanoj ranjivosti koja se svodi na problem u prenošenju NTLM autenticiranja (i to nije prvo put da se tako nešto dogodilo).
Infigov tim za procjenu i zaštitu sigurnosti testirao je kako ranjivost funkcionira i u tri koraka preuzeli su kontrolu nad domenom.

Prvi korak je provociranje proizvoljne NTLM autenitkacije s alatom PetitPotam.
Drugi korak je prenošenje autenticiranja na ADCS dok se koristi IIS web server koristeći alat Impacket.
Treći korak je korištenje alata Rubeus kako bi se dohvatio Kerberos TGT i to je zapravo to.

Ako je mašina u pitanju domenski kontroler, napadač je kompromitirao cijelu domenu!

Kako izbjeći ranjivost?

Ovisno o upotrebi ADCS-a, organizacije mogu onemogućiti NTLM autentikaciju na IIS serveru. Ako organizacija ne treba IIS, trebalo bi ga u potpunosti maknuti.
Organizacije bi isto trebale koristiti firewallove na hostovima kako bi ograničile povezanost čim je više moguće te trebaju razmisliti da li domenski kontroler mora imati odlazne veze na portu 445 i da li radne stanice moraju dozvoljavati dolazne veze na portu 445.

Detekcija

Ukoliko organizacije žele provjeriti jesu li napadnute, trebaju gledati na evente s Event Codeom 4768 (to je TGT request), gdje Certificate Information dio sadržava podatke (Certificate Issuer Name, Serial Number and Thumbprint), indicirajući da je certifikat bio korišten za taj request.

Korisnici Splunka za to mogu iskoristiti jednostavan search:
index=windows EventCode=4768 Certificate_Issuer_Name=*

Što je sve Infigo IS napravio u vezi toga?

Naš sigurnosni tim analizirao je ranjivost i objavio što radi, kako radi te kako je izbjeći. Tu je i službeni Microsoftov advisory.
Naš Infigo SIEM, i s tim i naš Security Operation Center (SOC), implementirao je uzbunu koji detektira ovaj napad.

Kao i obično, preporučamo da pripazite na svježe sigurnosne biltene i da redovito ažurirate svoje sustave.

Ukoliko želite saznati više o proizvodima i uslugama tvrtke Infigo IS koji će vam pomoći održavati visoku razinu informacijske sigurnosti, možete nas kontaktirati na info@infigo.hr ili nas nazvati na +385 1 4662 700.