Microsoft 的Active Directory 证书服务(AD CS) 中存在一个严重漏洞,可能允许攻击者提升权限并可能获得域管理员访问权限。
这个被称为 ESC15 或“EKUwu”的新漏洞是由 TrustedSec 于 2024 年 10 月初发现的,此后被添加到流行的攻击性安全工具中。
该漏洞的官方编号为 CVE-2024-49019,会影响使用具有特定配置的版本 1 证书模板的 AD CS 环境。它允许具有基本注册权限的攻击者操纵证书请求,绕过预期的限制并获得未经授权的特权。
ESC15 建立在之前的 AD CS 漏洞(称为 ESC1 至 ESC14)的基础上,这些漏洞由 SpecterOps 研究人员 Will Schroeder 和 Lee Christensen 于 2021 年首次记录。这一最新发现表明,保护 AD CS 基础设施仍面临持续的挑战。
该漏洞利用了 AD CS 处理证书请求的怪癖。攻击者可以制作证书签名请求 (CSR),其中包含可覆盖模板中指定的预期扩展密钥使用(EKU) 属性的应用程序策略。
这使得他们能够生成具有提升权限的证书,例如客户端身份验证、证书请求代理,甚至代码签名功能。
特别令人担忧的是利用常用 WebServer 模板的能力。尽管此模板通常不包含客户端身份验证权限,但该漏洞允许攻击者添加这些功能,从而可能导致域入侵。
微软解决了该问题
鉴于攻击者有可能获得域管理员权限,微软已评估未来被利用的可能性很高。敦促使用 AD CS 的组织立即采取行动保护其环境。
建议的缓解措施包括:
-
审查并加强证书模板的注册权限。
-
删除未使用的证书模板以减少攻击面。
-
对自定义主题请求实施额外保护,例如额外的签名或批准流程。
-
审核使用架构版本 1 模板颁发的所有有效证书,以查找未经授权的 EKU 或不寻常的主题名称。
微软于 2024 年 11 月 12 日发布了针对 ESC15 的官方修复程序,作为其 11 月补丁星期二更新的一部分。但是,建议管理员采取主动措施来保护其 AD CS 环境,而不仅仅是应用补丁。
随着组织继续依赖 AD CS 来管理数字身份,ESC15 的发现清楚地提醒了我们在企业 PKI 环境中正确配置和持续的安全评估至关重要。
网络安全团队必须保持警惕并随时了解新出现的威胁,以有效保护其 Active Directory 基础设施。
— 欢迎关注
|
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论