7.8 ניצול ADCS הרצאה

ניצול ADCS (Active Directory Certificate Services) להעלאת הרשאות¶

השירות Active Directory Certificate Services (ADCS) הוא רכיב של Active Directory המאפשר יצירה, ניהול והפצה של תעודות דיגיטליות בתוך ארגון. תעודות אלו משמשות לאימות זהות, הצפנה וחתימה דיגיטלית, אך כאשר לא מנוהלות כראוי, הן עשויות להוות פוטנציאל להתקפות Privilege Escalation (העלאת הרשאות) בתוך Active Directory. ניצול ADCS להעלאת הרשאות הוא טכניקת התקפה שיכולה לאפשר לתוקף להשיג הרשאות גבוהות, בדרך כלל על ידי ניצול חולשות במנגנוני ה-PKI (Public Key Infrastructure) של ADCS.

התקפה זו משתמשת בכשלים בניהול התעודות הדיגיטליות ובמנגנון של Enterprise Admins ו-Domain Admins, ומאפשרת לתוקף להנפיק תעודות חדשות שיכולות להקנות לו הרשאות גבוהות בדומיין.

מהו ADCS (Active Directory Certificate Services)?¶

הADCS הוא שירות המספק את המנגנון לניהול תעודות דיגיטליות בארגון מבוסס Windows. תעודות אלו משמשות עבור פעולות כגון:

אימות זהות (Authentication) של משתמשים, מחשבים ושירותים.
הצפנה של תקשורת ונתונים.
חתימה דיגיטלית להבטחת שלמות הנתונים.

במקרים בהם יש לתוקף גישה למערכת או לתשתית ADCS, ניתן לנצל את יכולות השירות כדי להנפיק תעודות שיאפשרו לו לבצע פעולות שמפוקחות על ידי המערכת או להנפיק תעודות שמזוהות כישות בעלת הרשאות גבוהות, כמו Domain Admins.

התקפות אפשריות עם ADCS¶

התקפת CA (Certificate Authority) – ניצול חולשות במערכת CA¶

בזמן שמנהל ה-ADCS אחראי לניהול התעודות הדיגיטליות, חולשה או טעויות בהגדרות יכולים לאפשר לתוקף לגשת לממשק Certificate Authority ולהנפיק תעודות דיגיטליות משלו. שימוש לא נכון בממשק זה מאפשר לתוקף:

הנפקת תעודות למשתמשים לא מורשים: למשל, תעודת Domain Admin שתאפשר לו לגשת למערכות נוספות עם הרשאות גבוהות.
גניבת תעודות קיימות: אם התוקף מצליח לגשת לאחסון התעודות, הוא עשוי למצוא תעודות שנגנבו או שזוהו כמשתמשים בעלי הרשאות גבוהות.

השלב הראשון – גישה לאחסון התעודות (CA)¶

התוקף צריך להשיג גישה לשרת ה-CA. במקרה זה, אם התוקף מצליח להיכנס כמשתמש עם הרשאות נמוכות, הוא יכול להתחיל בחיפושים אחר חולשות בשרת או בממשק הניהול.

התקפת Kerberos על תעודות – שלב נוסף בהתקפה¶

תוקפים עשויים להשתמש בחולשות תעודות דיגיטליות המנוהלות על ידי ADCS כדי להנפיק כרטיסי Kerberos (TGT) עם הרשאות גבוהות. בעזרת זה הם יכולים לבצע התקפות Pass-the-Ticket ו Golden Ticket כדי לגשת למשאבים ולבצע תנועה רוחבית (Lateral Movement).

התקפות אלו מתמקדות בניצול תעודות תקפות כדי לקבל גישה לא מורשית באמצעות פרטי אימות של חשבונות ניהוליים.

ביצוע התקפה על ADCS להעלאת הרשאות¶

במהלך ההתקפה על ADCS, התוקף פועל במספר שלבים, תלוי ביכולת ובחולשות שנמצאות בסביבה. הנה סדר פעולתו הכללי:

1. גישה ל-CA ודרישה לתעודה¶

התוקף חייב להשיג גישה למערכת ה-CA או למחשב המנהל את ה-ADCS. אם יש לו גישה לחשבון עם הרשאות נמוכות (למשל Authenticated User), הוא יכול לשלוח בקשה להנפקת תעודה חדשה למחשב שמוגדר כאדמין של המערכת.

כדי להנפיק תעודה זו, התוקף שולח בקשה לפורמט X.509 (הפורמט של תעודות דיגיטליות):

certreq -new request.inf request.req

2. גניבת תעודות בעלות הרשאות גבוהות¶

השלב הבא הוא הגניבה או הנפקה של תעודות המאפשרות לתוקף לגשת כ- Domain Admin. התוקף יכול להנפיק תעודה בעלת הרשאות גבוהות דרך ADCS, או לגשת לתעודות שיכולות לשמש את המערכת המנהלית כמו Enterprise Admins.

כלי כמו Certipy או PKIView עשויים לשמש לניצול חולשות ב-ADCS.

3. תקיפת שירותי Kerberos¶

לאחר שהתוקף הצליח להנפיק תעודה שמזוהה כמשתמש עם הרשאות גבוהות, הוא עשוי להנפיק כרטיס Kerberos (TGT) המאפשר לו לגשת למערכות ללא הגבלה.

הפקודה להנפקת כרטיס TGT תיראה כך:

klist tgt

4. הזרקת התעודה למערכות או שירותים¶

כעת, התוקף יכול להזריק את התעודה החדשה שנשיג ליישומים או שירותים שונים ב-Active Directory, ולהשיג גישה לא מורשית לכל שירות או מערכת, ובכך להשיג הרשאות גבוהות ללא צורך לדעת את הסיסמאות של המשתמשים.

השלכות התקפה זו¶

ניצול ADCS לצורך העלאת הרשאות עלול להוביל למספר השלכות חמורות:

גישה לכל השירותים המנהליים: התוקף יכול לקבל גישה למערכות ניהוליות ולבצע פעולות שיכולות לכלול שינוי או גניבת מידע רגיש.
הפצה לרוחב הרשת (Lateral Movement): התוקף יכול להשתמש בתעודות לגישה למחשבים אחרים ולבצע התקפות נוספות.
השפעה על כל המידע הקריטי בארגון: שינויים בתעודות ניהוליות עשויים לאפשר לתוקף להשפיע על כל מערכות האימות בארגון ולגנוב מידע רגיש או לשנות הגדרות קריטיות.

הגנה על Active Directory ו-ADCS¶

כדי להימנע מהתקפות כאלה, יש לנקוט מספר אמצעי הגנה קריטיים:

הקשחת שרתים המנהלים את ADCS: יש להקפיד על הגדרות אבטחה נאותות על שרתי ה-CA ו-ADCS ולמנוע גישה לא מורשית.
הגבלת הרשאות למנהלים: יש להבטיח שמי שמנהל את ה-ADCS יהיה בעל הרשאות מוגבלות בלבד, ולשלול הרשאות בלתי נדרשות.
ביצוע אכיפה של Multi-Factor Authentication (MFA): חשוב להפעיל אימות כפול על כל מערכות שמנהלות את התעודות.
ביקורת ומעקב אחר פעילות שירותי ADCS: יש להקים מערכות ניטור מתקדמות שיכולות לזהות פעולות חריגות בהנפקת תעודות ובגישה למידע קריטי.