奧義智慧在6月發布一份關於AD安全防護的白皮書,名為「Unveiling Active Directory Security Risks: A Comprehensive Analysis of Management Issues and Vulnerabilities」,當中的分析結果是根據國內27家企業組織環境的觀察而成,指出國內企業普遍存在3個問題,包括:AD權限設定瑕疵、AD CS錯誤配置,以及隱藏的特權帳號數量被輕忽。(/奧義智慧)
臺灣企業使用AD CS的情況很普遍,但7成存在不安全設定
另一個值得大家參考的AD安全現況分析報告,來自戴夫寇爾,他們在今年3月舉辦的DEVCORE Conference 2024活動,闡釋攻擊者視角的AD防護破口,隔月釋出相關簡報,當中說明他們進行數十場紅隊演練的過程當中,在最近一年半期間,從國內企業環境看到的相關現況。
他們有哪些重要發現?首先是歸納早年臺灣企業AD防護不足時,常見的3種攻擊AD手法,更重要的是,針對現今多數企業安裝AD CS,卻沒做好安全設定的現況,他們也進行更深入的分析。
關於早年的AD攻擊手法,戴夫寇爾紅隊演練專家徐偉庭分析三種伎倆。
第一種是「灑密碼」,有些企業網域帳號的密碼原則設定不夠安全,像是僅要求密碼長度最多8碼,嘗以及試錯誤鎖定只有15到30分鐘,因此攻擊者可對所有網域帳號,發動密碼噴灑的攻擊。不過,現在企業密碼安全管理政策越來越嚴格,像是最低限制12碼起跳,密碼嘗試一旦失敗三次就自動鎖定帳號,為期2個月,導致這種手法越來越不容易得逞。
第二種是「利用BloodHound工具」,可快速分析網域物件資訊,掌握物件關係並以圖解呈現脈絡,換言之,攻擊者可透過資料庫搜尋語法查詢攻擊途徑。不過,隨著企業實施多種強化AD設定的手段,像是特權帳號分割、強化DSCL,甚至導入Enterprise Access Model,使得BloodHound能找出的路徑相當有限。
第三種是「利用AD漏洞」直接拿下AD網域的控制權,像是ZoroLogon、noPac,即便Exchange伺服器的ProxyLogon漏洞,也可以幫助拿下AD控制權。不過,企業一旦察覺這類重大漏洞的存在,很快就會修補,迫使攻擊者只能藉由挖掘新漏洞,才能找到突破防護的方法。
在上述三種AD攻擊手法之外,戴夫寇爾也點出一個新的威脅面向,那就是:攻擊者將可透過AD CS來拿下AD的風險,他們呼籲大家重視此問題的嚴重性,尤其需要定期檢核所有憑證範本。
根據他們的演練經驗,有高達92%比例的企業,都在自家IT環境額外安裝AD CS憑證服務,當中卻有高達70%沒做好AD CS的安全設定,而且絕大部分是真的可被攻擊者利用。
為了幫助大家更好理解問題所在,戴夫寇爾引用SpectreOps團隊發布的白皮書Certified Pre-Owned,透過其定義的AD CS相關攻擊手法與代號(如ESCx),最新已區分出14種類型,以及DEVCORE的經驗,以此解釋臺灣企業最常犯的相關錯誤。
基本上,AD CS的作用在於簡化憑證管理,以及強化身分驗證與授權等,臺灣企業採用這項服務,卻反而出現一些不安全設定的情況,那些最常見?
戴夫寇爾指出,第一名是憑證範本設定疏失(ESC1),有40%企業存在這樣的狀況,第二名是憑證範本存取權限設定疏失(ESC4),有25%,第三名是NTLM中繼攻擊至AD CS HTTP端點(ESC8),有15%。
以最常見的ESC1而言,這是憑證範本設定疏失所導致的提權漏洞。舉例來說,當AD管理者依循官方文件設定AD CS憑證後,可能沒注意到:WebServer複製出的憑證範本,已經啟用supply the subject name in the request的選項,在這樣的狀態下,代表允許申請者可以指定任意的SAN(Subject Alternative Name)欄位,再加上其他條件也都符合,使得濫用ESC1的條件成立。
由於使用者認為本身並未啟用上述選項,但其實一開始複製的憑證範本已經啟用,這樣的認知落差而產生ESC1的設定陷阱。
值得我們重視的是,這些因不安全設定的攻擊手法,原本只有統整出8種,現在已經擴展到14種,這也意味著,企業不僅需要留意避免發生常見設定疏失,也要持續關注新的狀況。

戴夫寇爾在今年3月揭露臺灣AD安全防護的新威脅面,並在隔月釋出這方面的簡報,呼籲大家重視此問題的嚴重性。他們指出,國內有相當多企業額外安裝AD憑證服務(AD CS),但卻因為這方面的設定疏失,導致攻擊者可透過AD CS來拿下AD的風險。在他們的紅隊演練經驗中,國內企業最常見的設定疏失類型,以ESC1的「憑證範本設定疏失」最多,其次是ESC4的「憑證範本存取權限設定疏失」。(/戴夫寇爾)



2024-07-01
