Для использования уязвимости, классифицированной как AD CS ESC16, злоумышленникам достаточно скомпрометировать всего одну непривилегированную учетную запись с определенными правами и выполнить от ее имени несколько команд. В результате такой атаки злоумышленники могут получить привилегированный доступ ко всей инфраструктуре, включенной в домен Active Directory.

Чтобы защитить корпоративную сеть, необходимо убедиться, что в настройках центра сертификации Active Directory включено расширение SID Security Extension. Оно позволяет идентифицировать пользователя по его уникальному номеру, а не по другим атрибутам, значения которых могут изменить преступники. Расширение стало доступно после выхода в мае 2022 обновления KB5014754, поэтому важно установить его или последующие кумулятивные обновления.

«Центр сертификации — один из самых часто встречающихся векторов компрометации доменов Active Directory. Это уже шестнадцатая описанная техника повышения привилегий, использующая этот компонент, и будут появляться новые. В связи с этим необходимо регулярно проверять настройки AD CS и устранять недостатки конфигурации», – отмечает Дмитрий Зубарев, заместитель директора аналитического центра УЦСБ.

Подробнее вопросы ИТ безопасности обсудят на конференции IT IS conf, которая состоится 19–20 июня в Екатеринбурге при поддержке Министерства цифрового развития и связи Свердловской области. Мероприятие объединит более 600 экспертов в сфере информационных технологий и кибербезопасности со всей страны, руководителей компаний, глав профильных министерств и представителей бизнес-структур. 

Участие в мероприятии бесплатное, необходима предварительная регистрация на сайте. 
Количество мест ограничено.

Информационный партнер – международное СМИ PRоБизнес72. 

Источник: Уральский Центр Систем Безопасности