0x00 漏洞概述
|
CVE ID |
CVE-2022-26923 |
发现时间 |
2022-05-11 |
|
类 型 |
权限提升 |
等 级 |
高危 |
|
远程利用 |
是 |
影响范围 |
|
|
攻击复杂度 |
低 |
用户交互 |
无 |
|
PoC/EXP |
已公开 |
在野利用 |
否 |
0x01 漏洞详情
2022 年 5 月 10 日,微软发布了5月安全更新,修复了包括Active Directory Domain Services 权限提升漏洞(CVE-2022-26963 )在内的75个安全漏洞。
此漏洞的CVSSv3评分为8.8,经过身份验证的低权限用户可以利用此漏洞在安装了 Active Directory 证书服务 (AD CS) 服务器角色的默认 Active Directory 环境中将权限提升为域管理员权限。但只有当 Active Directory 证书服务在域上运行时,系统才容易受到针对此漏洞的攻击。
5月11日,此漏洞的漏洞细节和POC已公开。
使用证书进行身份验证
转出所有用户哈希
0x2 影响范围
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based Systems
Windows Server, version 20H2 (Server Core Installation)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
0x3 漏洞原理
3.1 Windows Active Directory (AD)
AD是微软所提供的目录服务(查询,身份验证),活动目录的核心包含了活动目录数据库,在活动目录数据库中包含了域中所有的对象(用户,计算机,组…),活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server 以及Windows Datacenter Server的目录服务。
AD不仅用于身份和访问管理,还提供大量服务来帮助您运行和管理您的组织。其中许多服务鲜为人知或使用较少,这意味着在执行安全强化时它们经常被忽视。其中一项服务是 Active Directory 证书服务 (AD CS)。
3.2 Active Directory 证书服务
AD CS 是 Microsoft 的公钥基础结构 ( PKI ) 实施。由于 AD 在组织中提供了一定程度的信任,因此它可以用作 CA 来证明和委托信任。
AD CS 用于多种用途,例如加密文件系统、创建和验证数字签名,甚至是用户身份验证,这也给攻击者提供了良好的攻击途径;因证书可以在凭证轮换中幸存下来,这意味着即使重置了受损帐户的密码,也不会使恶意生成的证书无效,从而提供长达 10 年的持续凭证盗窃!下图显示了证书请求和生成的流程。
0x4 漏洞复现
4.1 网络架构
4.2 主机规划
简单演示节省篇幅我们这里就使用单域环境来复现
| 角色 |
系统 |
IP |
备注 |
| AD | Windows Server 2016 | 10.0.0.130 |
|
| DNS |
Windows Server 2016 | 10.0.0.130 |
4.3 复现过程
配置静态IP,服务器必须先配置静态IP地址
检测网络连通
配置AD 环境
下一步
勾选AD域服务(活动目录)
下一步
下一步
开始安装
完成安装
配置域
安装完成以后需要按照向导配置服务器,提升当前服务器为域控制器。这里根据向导需要 选择 添加新林 ,添加自己的域名
选项默认即可 设置密码(记住密码)
下一步
下一步,路径均默认即可
下一步
验证通过以后点击安装
等待安装完毕,如需要重启会重启服务器。到此DNS AD服务器以及域控安装完毕。
配置AD CS
配置过程跟刚才部署AD域类似,这里快进一下。。。。
证书颁发机构Web注册
下一步
下一步
等待安装完成
配置服务器
下一步
下一步
配置证书类型
下一步
配置成功
到此 AD CS配置完毕。
创建AD用户 既然是提权操作 那么这里我们创建一个低权限用户
工具-->AD管理中心
创建域本地用户
我们可以通过域内的机器定位CA证书服务器
攻击机 配置/etc/hosts
篇幅较长,关于上篇我们就先写到这,下篇我们继续。
0x5 修复建议
目前微软已经发布了此漏洞的补丁,鉴于Active Directory服务使用广泛,且漏洞影响较为严重,建议受影响用户尽快安装更新。
下载链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26923
0x6 关注我们
·学习更多网络安全知识 加群·
原文始发于微信公众号(小白嘿课):【漏洞复现】Active Directory Domain Services权限提升漏洞(CVE-2022-26923)-上
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论