CVE-2022-26923

Microsoft Active Directory

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-08-18

Официальное описание

An authenticated user could manipulate attributes on computer accounts they own or manage, and acquire a certificate from Active Directory Certificate Services that would allow for privilege escalation to SYSTEM.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2022-26923 связана с процессом выдачи сертификатов в Active Directory Certificate Services (AD CS). Она позволяет аутентифицированному пользователю с низкими привилегиями повысить свои права до уровня Domain Admin.

Механизм атаки заключается в следующем: 1. Пользователь создает новую учетную запись компьютера (по умолчанию квота ms-DS-MachineAccountQuota позволяет это делать). 2. Злоумышленник изменяет атрибут dNSHostName созданного компьютерного аккаунта на имя контроллера домена или другого высокопривилегированного сервера. 3. При запросе сертификата от AD CS (используя шаблоны типа Machine или User), сервис сопоставляет идентификатор на основе измененного атрибута. 4. В результате AD CS выдает сертификат, содержащий данные целевого сервера, что позволяет злоумышленнику аутентифицироваться от имени этого сервера и захватить домен.

Как исправить

Основным методом исправления является установка обновлений безопасности Microsoft от мая 2022 года (и последующих кумулятивных обновлений) на все контроллеры домена и серверы AD CS.

  1. Установите обновления на все контроллеры домена в лесу.
  2. Установите обновления на серверы с ролью Certification Authority (CA).
  3. После установки обновлений система перейдет в режим совместимости (Compatibility Mode). Для полной защиты необходимо убедиться, что сертификаты содержат новое расширение (SID), и перевести систему в режим принудительного исполнения (Full Enforcement Mode) через реестр.

Команда для проверки наличия установленных обновлений (KB5014754 и аналогичных):

Get-HotFix | Where-Object {$_.HotFixID -match "KB5013924|KB5013941|KB5013944"}

Для принудительного включения строгого сопоставления (Strong Mapping) после тестирования:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc" /v "StrongCertificateBindingEnforcement" /t REG_DWORD /d 2 /f

Временные меры

Если немедленная установка патчей невозможна, необходимо минимизировать поверхность атаки следующими действиями:

  1. Ограничьте права на создание компьютерных аккаунтов рядовыми пользователями, установив значение ms-DS-MachineAccountQuota в 0.
Set-ADDomain -Identity (Get-ADDomain).DistinguishedName -Replace @{"ms-DS-MachineAccountQuota"=0}

  1. Настройте мониторинг событий безопасности (Event ID 4808 и 4809 на стороне CA, а также Event ID 4741 и 4742 на контроллерах домена) для обнаружения подозрительных изменений атрибута dNSHostName.

  2. Проверьте шаблоны сертификатов в AD CS. Отключите опцию "Supply in the request" на вкладке Subject Name для всех шаблонов, где это не является критически необходимым.

  3. Ограничьте разрешения на изменение атрибутов компьютерных объектов (Write dNSHostName, Write ServicePrincipalName) для непривилегированных групп пользователей.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей