【精選威脅情資】漏洞警訊:AD 網域服務提權漏洞 CVE-2022–26923

AD 網域服務提權漏洞 CVE-2022–26923

本文由奧義智慧 (CyCraft)資安卓越中心規劃建置計畫 (CCoE) 共同發布。

危害與影響

微軟所推出的 Active Directory (AD) 服務,一直以來都是各大企業、政府單位與組織機構喜愛的管理工具,然而 AD 內部複雜的運作原理與結構,再加上陸續爆發的 AD 重大漏洞,也使 AD 服務成為資安人員防不勝防、駭客愛不釋手的資安破口。本報告便針對近期出現的 AD 網域服務提權漏洞 CVE-2022–26923 進行深入解析,探討 Active Directory Certificate Service (ADCS) 的特性、CVE-2022–26923 的成因與緩解方式等。

由於該漏洞影響所有裝設 ADCS 的場域,可允許攻擊者透過任意低權限的帳號偽裝成網域控制站竊取網域中全部的帳號密碼,危害程度相當重大。除此之外,也因為電腦物件中 dNSHostName 的值仍然可以跟 AD 的其他物件重複,所以如果有相關應用取用此欄位,還是可能促成未知的攻擊路徑。


分析師觀點

2021 年年中至年末,多個 AD CVE 被研究人員發現,其中絕大多數都是 AD 物件的屬性設定問題。除此之外,相關服務如 ADCS 的漏洞也被大量挖掘出來。舉例來說,從去年爆發的重大漏洞 Petitpotam,再到去年 BlackHat USA 的議程 ”Certified Pre-Owned: Abusing Active Directory Certificate Services”,這些研究都與針對 ADCS 的攻擊有關。顯見 AD 結構的複雜性與資安脆弱性。

本報告所分析之漏洞 CVE-2022–26923,相較之下利用邏輯較好理解、涵蓋知識廣泛,危害程度卻絲毫不輸前述攻擊,因此被挑選成本篇分析對象,以讓閱讀者了解 ADCS 攻擊的應用。


描述

2022 年五月,研究人員發現一種 AD 提權方式,使駭客可以透過漏洞 CVE-2022–26923 提權至高權限帳號進行帳號竊取。該 CVE 的漏洞敘述雖只提到 Active Directory Domain Services (ADDS),但實際上該漏洞的利用方式是結合了 ADDS 和 ADCS進行攻擊。

目前微軟已針對該漏洞推出修補更新,然而修補時使用者需同時更新 ADCS與 DC 主機,致使更新初期一度造成微軟客戶的 AD 場域驗證出現問題。


技術分析

ADCS 為微軟提供的公開金鑰基礎建設服務 (Public Key Infrastructure, PKI),就像網際網路資訊服務 (Internet Information Services, IIS) 一樣可以選擇性地安裝。另外,ADCS 顧名思義,其名稱中帶有 AD 二字,可以想見除了 PKI 功能以外,其本身還與 AD 功能緊緊地綁定在一起,常見應用情境包含 AD 身分認證綁定憑證等,網域使用者或電腦可以透過申請憑證後進行認證。其中,Extended/ Enhanced Key Usage (EKU) 負責表示發出的憑證可以做何種用途,如簽發程式、身分驗證等。

除此之外,主題備用名稱 (Subject Alternative Name, SAN) 也很常見。SAN 允許在憑證中使用 subjectAltName 欄位將多種值與憑證關聯。常見的方式是寫入 email address 或主機的 dns hostname,概念近似於身份證中的姓名。而在 AD 使用憑證身分驗證時,此處就會寫入使用者的 UPN 或是主機的 dns hostname。

ADCS 憑證申請流程
ADCS 憑證申請流程

下圖為預設憑證範本 ”Machine”,平常的用途為給電腦使用。SubjectAltRequireDns 則代表會使用 DNS host name 寫入憑證中的 SAN 欄位。同時可見的是,該憑證的 EKU 為 Client/Server Authentication,換言之,申請該憑證可用於身分驗證。

因此該漏洞的利用方式如下:如果 Machine_A 可以更新自身的 dNSHostName 屬性成為其他電腦的 dNSHostName,當 Machine_A 去申請 Machine Template 的憑證後,就可以代表任何電腦。

根據 servicePrincipalName 的寫入規定,需「驗證寫入權限以啟用與電腦的 DNS host name 相符的 SPN 屬性設定」。其中特別值得注意的是「相符」一字。透過一連串的實驗,研究人員最後發現,當刪除 servicePrincipalName 裡面帶有 dNSHostName 的數值時,dNSHostName 設定就不會受任何限制,也就可以輸入網域控制站的完整網域名稱 (Fully Qualified Domain Name, FQDN)。

針對該漏洞,微軟在今年五月推出了修補更新,其中新增了物件識別碼 (Object Identifier, OID) szOID_NTDS_CA_SECURITY_EXT (1.3.6.1.4.1.311.25.2)。透過這項設定,每當有攻擊者利用該漏洞申請出來的憑證進行身分驗證,已經完整更新的網域控制站會在 Kerberos 驗證階段拒絕驗證。


緩解措施

因應該漏洞之修補更新和緩解措施,幾個注意事項必須留意:

  1. 漏洞修補更新需安裝在網域控制站與 ADCS 伺服器,兩者都需完整更新才能避免此攻擊。
  2. 受影響單位可以找出有 SubjectAltRequireDns (CT_FLAG_SUBJECT_ALT_REQUIRE_DNS) 的 Template 暫停註冊,但此舉可能影響最近要申請憑證的主機。
  3. 受影響單位可以設定 MS-DS-Machine-Account-Quota 為 0,但此舉會使大部分的使用者無法自行建立 Machine Account。因此執行前需權衡利弊。

參考資料
  1. IFCR Medium. “Certifried: Active Directory Domain Privilege Escalation (CVE-2022–26923)” Accessed June 14, 2022.
  2. Microsoft Security Response Center. “Active Directory Domain Services Elevation of Privilege Vulnerability” Accessed June 14, 2022.
  3. Microsoft Support. “KB5014754: Certificate-based authentication changes on Windows domain controllers” Accessed June 14, 2022.
  4. SpecterOps Medium.“Certified Pre-Owned” Accessed June 14, 2022.

Writer: CyCraft

關於 CyCraft

奧義智慧科技(CyCraft Technology)是一家專注於 AI 自動化技術的資安科技公司,成立於2017年。總部設於台灣,在日本和新加坡均設有子公司。為亞太地區的政府機關、警政國防、銀行和高科技製造產業提供專業資安服務。獲得華威國際集團(The CID Group)和淡馬錫控股旗下蘭亭投資(Pavilion Capital)的強力支持,並獲得國際頂尖研究機構 Gartner、IDC、Frost & Sullivan 的多項認可,以及海內外大獎的多次肯定。同時也是多個跨國資安組織和台灣資安社群的成員和合作夥伴,長年致力於資安產業的發展。

訂閱奧義智慧電子報

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
點擊此按鈕,即表示您同意奧義智慧的隱私權政策,並同意奧義智慧使用您所提供的資訊並寄送資訊給您。您隨時可以取消訂閱。