לדלג לתוכן

ניצול ADCS מוסבר

בשנים האחרונות, שירותי תעודות של Active Directory - ADCS - הפכו לאחד היעדים הכי מדוברים בתקיפת דומיינים ארגוניים. הסיבה פשוטה: הם רכיב שכמעט אף אחד לא בודק לעומק, אבל תבנית תעודה אחת מוגדרת לא נכון יכולה לתת לתוקף דרך ישירה להתחזות למנהל דומיין, לפעמים אפילו בלי לגעת בסיסמה של אף אחד.

מה זה בעצם ADCS

ADCS - Active Directory Certificate Services - הוא רכיב שמאפשר לארגון להריץ תשתית מפתחות ציבוריים (PKI) פנימית משלו, ולהנפיק תעודות דיגיטליות למשתמשים ולמחשבים. תעודות אלה משמשות למגוון מטרות - הצפנת דואר, חתימה דיגיטלית, אימות VPN, ובין היתר גם אימות מול Active Directory עצמו כתחליף או תוספת לסיסמה. וכאן בדיוק טמון הפוטנציאל לבעיה - תעודה שמאפשרת אימות לדומיין היא בעצם מפתח כניסה, ואם אפשר להשיג תעודה בשם מישהו אחר, אפשר להתחזות אליו במלואו.

איך תבניות תעודה הופכות לחולשה

ADCS עובד עם תבניות (Certificate Templates) שקובעות מי רשאי לבקש תעודה, מאיזה סוג, ולאילו מטרות. הבעיה מתחילה כשתבנית מוגדרת בצורה רחבה מדי - למשל, כזו שמאפשרת לכל משתמש בדומיין לבקש תעודה, ומאפשרת גם לאותו משתמש לציין בעצמו את שם המשתמש שהתעודה מונפקת עבורו (Subject Alternative Name). במצב כזה, משתמש רגיל בלי הרשאות מיוחדות יכול פשוט לבקש תעודה "בשם" מנהל הדומיין, לקבל אותה בהצלחה כי התבנית מאפשרת זאת, ואז להשתמש בתעודה הזו כדי להתחבר לדומיין כאילו הוא אותו מנהל.

זו בדיוק אחת מקבוצת החולשות שמכונות בקהילת המחקר ESC (ראשי תיבות Escalation) - שרשרת שלמה של תרחישי תצורה שגויה בתבניות תעודה, שכל אחד מהם מוביל בדרך שונה מעט לאותה תוצאה: הנפקת תעודה שמאפשרת התחזות למשתמש בעל הרשאות גבוהות.

למה זה כל כך אטרקטיבי לתוקפים

  • נגישות רחבה - הרשאה לבקש תעודה מתבנית מסוימת ניתנת לרוב לכל משתמש מאומת בדומיין, מה שהופך את זה לנקודת פתיחה נגישה כמעט תמיד.
  • קשה לניטור - הנפקת תעודה היא פעולה לגיטימית לחלוטין מבחינת המערכת, ולכן לא מפעילה בהכרח את אותן התראות כמו טכניקות תקיפה קלאסיות יותר.
  • תוקף ארוך - תעודה שהונפקה נשארת תקפה לתקופה ארוכה, כך שגם אחרי שהתוקף מאבד גישה אחרת לדומיין, התעודה עדיין מהווה נתיב כניסה חוזר.

איך בודקים ADCS בבדיקת חדירות

השלב הראשון הוא תמיד מיפוי - זיהוי אילו שרתי ADCS קיימים בדומיין, ואילו תבניות תעודה מוגדרות ומי רשאי להשתמש בהן. כלים ייעודיים כמו Certipy נבנו במיוחד כדי לסרוק ולזהות תבניות פגיעות באופן אוטומטי, ולהראות בדיוק איזה תרחיש רלוונטי לכל תבנית שנמצאה.

איך מתגוננים

  • ביקורת קפדנית של כל תבניות התעודה בדומיין, במיוחד אלה שמאפשרות אימות לדומיין ומעניקות למבקש שליטה על שם המשתמש בתעודה.
  • הגבלת ההרשאה לבקש תעודות מתבניות רגישות לקבוצות מצומצמות בלבד.
  • ניטור בקשות תעודה חריגות, במיוחד כאלה שמבוקשות בשם חשבונות בעלי הרשאות גבוהות.
  • עדכון והקשחה של שרת ADCS עצמו כמו כל שרת קריטי אחר בדומיין.

איך לומדים את זה נכון

ניצול ADCS הוא נושא מתקדם ופופולרי מאוד בתקיפת Active Directory מודרנית. מי שרוצה להבין את התבניות השונות ואת דרכי הניצול שלהן לעומק יכול להתחיל מקורס בדיקות החדירות שלנו.

לסיכום

ADCS מוכיח שגם רכיבים ותיקים ו"משעממים" לכאורה בתשתית הארגונית יכולים להסתיר בתוכם נתיב תקיפה משמעותי. הבנה של איך תעודות דיגיטליות ואימות דומיין נפגשים היא כלי חיוני לכל בודק חדירות שעובד בסביבות Active Directory מודרניות.

יש לכם שאלות על תשתיות PKI ותעודות דיגיטליות? בואו לקהילה שלנו.

הצטרפו לקהילה בדיסקורד