【精選威脅情資】漏洞警訊：AD 網域服務提權漏洞 CVE-2022–26923

‍

本文由奧義智慧 (CyCraft) 與資安卓越中心規劃建置計畫 (CCoE) 共同發布。

‍

危害與影響

微軟所推出的 Active Directory (AD) 服務，一直以來都是各大企業、政府單位與組織機構喜愛的管理工具，然而 AD 內部複雜的運作原理與結構，再加上陸續爆發的 AD 重大漏洞，也使 AD 服務成為資安人員防不勝防、駭客愛不釋手的資安破口。本報告便針對近期出現的 AD 網域服務提權漏洞 CVE-2022–26923 進行深入解析，探討 Active Directory Certificate Service (ADCS) 的特性、CVE-2022–26923 的成因與緩解方式等。

由於該漏洞影響所有裝設 ADCS 的場域，可允許攻擊者透過任意低權限的帳號偽裝成網域控制站竊取網域中全部的帳號密碼，危害程度相當重大。除此之外，也因為電腦物件中 dNSHostName 的值仍然可以跟 AD 的其他物件重複，所以如果有相關應用取用此欄位，還是可能促成未知的攻擊路徑。

分析師觀點

2021 年年中至年末，多個 AD CVE 被研究人員發現，其中絕大多數都是 AD 物件的屬性設定問題。除此之外，相關服務如 ADCS 的漏洞也被大量挖掘出來。舉例來說，從去年爆發的重大漏洞 Petitpotam，再到去年 BlackHat USA 的議程 ”Certified Pre-Owned: Abusing Active Directory Certificate Services”，這些研究都與針對 ADCS 的攻擊有關。顯見 AD 結構的複雜性與資安脆弱性。

本報告所分析之漏洞 CVE-2022–26923，相較之下利用邏輯較好理解、涵蓋知識廣泛，危害程度卻絲毫不輸前述攻擊，因此被挑選成本篇分析對象，以讓閱讀者了解 ADCS 攻擊的應用。

描述

2022 年五月，研究人員發現一種 AD 提權方式，使駭客可以透過漏洞 CVE-2022–26923 提權至高權限帳號進行帳號竊取。該 CVE 的漏洞敘述雖只提到 Active Directory Domain Services (ADDS)，但實際上該漏洞的利用方式是結合了 ADDS 和 ADCS進行攻擊。

目前微軟已針對該漏洞推出修補更新，然而修補時使用者需同時更新 ADCS與 DC 主機，致使更新初期一度造成微軟客戶的 AD 場域驗證出現問題。

技術分析

ADCS 為微軟提供的公開金鑰基礎建設服務 (Public Key Infrastructure, PKI)，就像網際網路資訊服務 (Internet Information Services, IIS) 一樣可以選擇性地安裝。另外，ADCS 顧名思義，其名稱中帶有 AD 二字，可以想見除了 PKI 功能以外，其本身還與 AD 功能緊緊地綁定在一起，常見應用情境包含 AD 身分認證綁定憑證等，網域使用者或電腦可以透過申請憑證後進行認證。其中，Extended/ Enhanced Key Usage (EKU) 負責表示發出的憑證可以做何種用途，如簽發程式、身分驗證等。

除此之外，主題備用名稱 (Subject Alternative Name, SAN) 也很常見。SAN 允許在憑證中使用 subjectAltName 欄位將多種值與憑證關聯。常見的方式是寫入 email address 或主機的 dns hostname，概念近似於身份證中的姓名。而在 AD 使用憑證身分驗證時，此處就會寫入使用者的 UPN 或是主機的 dns hostname。

‍

‍

下圖為預設憑證範本 ”Machine”，平常的用途為給電腦使用。SubjectAltRequireDns 則代表會使用 DNS host name 寫入憑證中的 SAN 欄位。同時可見的是，該憑證的 EKU 為 Client/Server Authentication，換言之，申請該憑證可用於身分驗證。

‍

‍

因此該漏洞的利用方式如下：如果 Machine_A 可以更新自身的 dNSHostName 屬性成為其他電腦的 dNSHostName，當 Machine_A 去申請 Machine Template 的憑證後，就可以代表任何電腦。

根據 servicePrincipalName 的寫入規定，需「驗證寫入權限以啟用與電腦的 DNS host name 相符的 SPN 屬性設定」。其中特別值得注意的是「相符」一字。透過一連串的實驗，研究人員最後發現，當刪除 servicePrincipalName 裡面帶有 dNSHostName 的數值時，dNSHostName 設定就不會受任何限制，也就可以輸入網域控制站的完整網域名稱 (Fully Qualified Domain Name, FQDN)。

‍

‍

針對該漏洞，微軟在今年五月推出了修補更新，其中新增了物件識別碼 (Object Identifier, OID) szOID_NTDS_CA_SECURITY_EXT (1.3.6.1.4.1.311.25.2)。透過這項設定，每當有攻擊者利用該漏洞申請出來的憑證進行身分驗證，已經完整更新的網域控制站會在 Kerberos 驗證階段拒絕驗證。

緩解措施

因應該漏洞之修補更新和緩解措施，幾個注意事項必須留意：

1. 漏洞修補更新需安裝在網域控制站與 ADCS 伺服器，兩者都需完整更新才能避免此攻擊。
2. 受影響單位可以找出有 SubjectAltRequireDns (CT_FLAG_SUBJECT_ALT_REQUIRE_DNS) 的 Template 暫停註冊，但此舉可能影響最近要申請憑證的主機。
3. 受影響單位可以設定 MS-DS-Machine-Account-Quota 為 0，但此舉會使大部分的使用者無法自行建立 Machine Account。因此執行前需權衡利弊。

參考資料

1. ‍IFCR Medium. “Certifried: Active Directory Domain Privilege Escalation (CVE-2022–26923)” Accessed June 14, 2022.‍
2. Microsoft Security Response Center. “Active Directory Domain Services Elevation of Privilege Vulnerability” Accessed June 14, 2022.‍
3. Microsoft Support. “KB5014754: Certificate-based authentication changes on Windows domain controllers” Accessed June 14, 2022.‍
4. SpecterOps Medium.“Certified Pre-Owned” Accessed June 14, 2022.