CyCraft.AI 部落格

現今，許多大型企業的身分驗證有地對雲同步整合的需求，而 Active Directory Federation Services (AD FS) 為其常見的解決方案。然而，絕大多數企業並沒有將 AD FS 做為核心資產善加管理，容易忽視其安全性。因此本篇報告便以 AD FS 的重要性出發，分析攻擊者如何透過 GoldenSAML ，進而能夠攻擊信任 AD FS 簽章的服務。

本報告所分析之 IceApple 為一個成熟的模組化 Internet Information Server (IIS) 後脅迫 (Post-Exploitation) 框架。該框架以 C# 語言編寫而成，並濫用了許多 .NET 框架的特徵，具有相當豐富的功能，包括從登錄檔中獲取憑證、在微軟的 Outlook Web Access (OWA) 伺服器上登入憑證、偵查系統、竊取資料等。且大多數 IceApple 的活動都發生在記憶體內，難以進行靜態分析，因此追緝難度相當高。

美國聯邦調查局 (The Federal Bureau of Investigation, FBI)、網路安全暨基礎架構安全署 (Cybersecurity and Infrastructure Security Agency, CISA)、美國財政部 (Department of the Treasury) 發布聯合警報AA22–187A，分析勒索軟體 Maui 的活動，顯示該勒索軟體對於全美國的高危險性。而且值得注意的是，雖然有些勒索軟體為顧及人民的生命安全，不會鎖定衛生保健與公共健康組織，但勒索軟體 Maui 顯然不在此列，該勒索軟體特別鎖定安全措施薄弱、服務具有緊急性的健康安全產業，以趁勢獲得高額的贖金，因此醫療、健保相關單位應該特別注意勒索軟體 Maui 的技術與動向。

本報告分析一支新發現於烏俄戰爭期間的網路攻擊工具 ーー INCONTROLLER。該工具主要針對工業控制系統，目前尚未被發現應用於現實攻擊中。然而有鑑於它強大的攻擊力和破壞性，知名資安大廠 Mandiant 的研究人員模擬了三種攻擊情境，包括攻擊工控系統中的控制器，使控制器崩潰、產線停擺；重寫控制器的功能，使設備物理性的損壞；關閉安全措施，使人員傷亡。無論何種情境皆能造成工廠極大的損失，因此值得特別注意。

作為使用者數量龐大的全球知名作業系統，Microsoft Windows 相關軟體一旦出現漏洞，其威脅與影響力不可小覷。近期，Microsoft 的研究人員公布了一個 Microsoft 支援診斷工具 (Microsoft Support Diagnostic Tool, MSDT) 的漏洞 (CVE-2022–30190)。該漏洞為遠端執行程式碼 (Remote Code Execution, RCE) 漏洞，可影響所有 Microsoft Windows 平台，嚴重程度已達通用漏洞評分系統 (Common Vulnerability Scoring System, CVSS) 的 7.8 分。更嚴重的是，目前已出現相關案例顯示，中國 APT 組織 TA413 偽裝成藏人中央行政組織的婦女賦權臺「Women Empowerments Desk」，假借要為藏人婦女爭取權益，實則傳送了包含 MSDT 攻擊腳本的文件。

微軟所推出的 Active Directory (AD) 服務，一直以來都是各大企業、政府單位與組織機構喜愛的管理工具，然而 AD 內部複雜的運作原理與結構，再加上陸續爆發的 AD 重大漏洞，也使 AD 服務成為資安人員防不勝防、駭客愛不釋手的資安破口。本報告便針對近期出現的 AD 網域服務提權漏洞 CVE-2022–26923 進行深入解析，探討 Active Directory Certificate Service (ADCS) 的特性、CVE-2022–26923 的成因與緩解方式等。