8 juli, 2021

Nya attacker på Active Directory Certificate Services

Flera säkerhetsexperter har oberoende av varandra publicerat tidigare okända attacker på Active Directory genom de integrerade certifikattjänsterna (AD CS). Flera av de uppmärksammande attackerna leder till att angriparen får full kontroll över domänen, vilket i många organisationer är en katastrofal händelse som resulterar i höga kostnader. Andra tekniker som uppmärksammats ger angripare nya metoder att utnyttja redan kända brister i Active Directory. 

Sentors säkerhetsexperter har tagit del av den information som gjorts tillgänglig och bedömer att det finns stor risk att cyberkriminella använder detta för att genomföra exempelvis ransomware-attacker. Redan nu har mycket allvarliga brister identifierats och åtgärdats i våra kunders system.
 
En del av de nya attackvägarna orsakas av rena konfigurationsbrister hos AD CS. Attackerna har låg komplexitet, får stor konsekvens och kan utföras från en vanlig klientdator. Dessa brister är tack och lov relativt enkla att åtgärda. Andra indirekta attackvägar kräver att angripare först lyckas angripa användare och servrar med speciella roller eller rättigheter i miljön. Därefter kan angriparen eskalera sina rättigheter via certifikattjänsterna, vilket kan få samma allvarliga konsekvens. Det är därför viktigt att säkra upp certifikattjänsterna och skydda certifikatservrar på samma sätt som andra känsliga servrar, såsom domänkontrollanter.

Rekommenderade säkerhetsåtgärder 

För att mitigera ovannämnda risker rekommenderar Sentors säkerhetsexperter följande åtgärder:

  • Se över behörigheter och konfiguration av certifikat-mallar.
  • Lås ner certifikat-servrar och möjliggör endast administrativ åtkomst av domän-administratörer.
  • Säkra upp webbtjänster för certifikatutfärdande.
    • - Aktivera TLS för webbservrar.
    • - Aktivera Extended Protection for Authentication.
    • - Tillåt endast Kerberos-inloggning (inte NTLM).
  • Larmsätt certifikatförfrågningar med avvikande attribut.
  • Skapa rapporter med historiska förfrågningar med avvikande attribut.
  • Deaktivera Print Spooler-tjänsten på domänkontrollanter (vilket det finns andra anledningar till att göra).

Källor: