검색

지원하는 언어

Silverfort 인증된 공격을 사전에 탐지하고 보호합니다.

7월 11th, 2022

» 블로그 » Silverfort 인증된 공격을 사전에 탐지하고 보호합니다.

2022년 2022월 초에 Certifried(CVE-26923-XNUMX) 취약점이 게시되었습니다. 이 취약점은 남용됩니다. Kerberos 인증서 확장 및 Active Directory 강요. 그것은 권한 에스컬레이션 약한 사용자가 도메인 관리자 권한을 얻는 취약점 Active Directory 환경을 제공합니다.

차례

  • 어떻게 진행합니까?
  • 완화

    • 어떻게 진행합니까?

    XNUMXD덴탈의 인증된 취약점 공격자가 취약한 사용자의 권한을 도메인 관리자에게 상승시킬 수 있습니다. 즉, 각 사용자는 도메인에서 최대 10개의 컴퓨터 계정을 만들 수 있습니다. 공격자는 약한 컴퓨터를 대상 컴퓨터 이름으로 변경하고 대신 악의적인 인증서를 요청할 수 있습니다. 다음으로 공격자는 제작된 인증서를 사용하여 대상 컴퓨터로 인증하고 높은 권한으로 악성 코드를 실행할 수 있습니다. 이 취약성은 최소한의 전제 조건으로 인해 광범위한 영향을 미칩니다. 필요한 것은 네트워크와 약한 사용자에 대한 연결뿐입니다.

    AD의 각 ID에는 속성이 있습니다. 서비스 사용자 이름(SPN)과 같이 일부는 도메인 전체에서 고유하며 일부는 중복될 수 있습니다. 공격자는 취약한 시스템 계정을 생성하고 dNSHostName 속성을 남용하여 대상의 호스트 이름으로 변경합니다. 그런 다음 공격자는 대상의 호스트 이름과 동일한 SAN(주체 대체 이름)을 사용하여 인증서를 요청합니다. 일반적으로 이 공격 흐름은 dNSHostName 변경이 서버의 SPN과 일치해야 하므로 완료할 수 없습니다. 그러나 SPN이 삭제되면 문제가 해결됩니다. dNSHostName을 변경할 수 있습니다.

    이 취약점은 도메인 컨트롤러가 인증서를 ID 개체에 매핑하는 방법도 다룹니다. Active Directory 인증 과정 중. 클라이언트에 대한 인증서를 요청할 수 있습니다 인증 목적을 달성하고 dNSHostName을 SAN으로 포함합니다.

    반환된 인증서는 이제 PKINIT 확장을 사용하여 도메인 컨트롤러에 대해 인증되고 대상 호스트로 식별될 수 있습니다.

    이 취약점을 악용하는 한 가지 방법은 다음을 인증하는 것입니다. Active Directory 대상 도메인 컨트롤러로 지정하고 이를 사용하여 도메인에 있는 모든 사용자의 자격 증명을 훔칩니다.

    완화

    마이크로소프트는 10월 XNUMX일 Windows 서버용 패치 인증서 생성 및 인증에 또 다른 보호 계층을 추가합니다. 단, 패치 설치 후 요청하는 인증서에 한해 적용됩니다. 시행 모드는 9년 2023월 XNUMX일부터 시작됩니다.

    Silverfort 통합 보호 플랫폼 패치 이전에 악성 인증서가 생성된 경우 진행 중인 Certifried 공격을 알리는 기능이 있습니다. Certifried에 관한 이 최신 보안 가이드라인은 Certifried 공격을 방어하는 방법에 대한 자세한 지침을 제공합니다.

    다음을 사용하여 사용자 지정 필터를 만드는 데 필요한 모든 데이터를 자동으로 수집하는 간단한 Powershell 스크립트를 만들었습니다. Silverfort.

    1. 도메인 워크스테이션 powershell에서 다음 명령을 실행하십시오.

    $dc_list = Get-ADDomainController -Filter * | 선택 개체 이름, ipv4address
    "https:// /Logs?deviceOrServer=$($dc_list.ipv4address -join
    ',')&excludedFilters=deviceOrServer&includeSources=$($dc_list.Name.ToLower() -join ',')&service=krbtgt”
    바꾸다 당신과 함께 Silverfort의 콘솔 URL입니다.

    1. 브라우저에 출력을 붙여넣고 로그인하십시오.
    2. NAT 장치의 주소와 같이 자동으로 생성된 목록에서 누락된 경우 도메인 컨트롤러가 사용할 수 있는 알려진 소스 IP 주소를 추가합니다.
    3. 필터 저장을 클릭하고 이름을 지정한 다음 저장을 클릭하십시오.
    4. 이제 필터가 생성되었으므로 화면 오른쪽 상단의 톱니바퀴를 클릭합니다.
    파워쉘 스크립트
    1. 그런 다음 맞춤 보고서를 선택합니다.
    2. 필요한 세부 정보를 입력하고 새로 생성된 두 개의 필터를 선택한 다음 저장을 클릭합니다.
    3. 모든 도메인 컨트롤러와 관련된 인증된 익스플로잇에 대한 정기적인 보고서를 받게 됩니다.

    이 필터가 인증 결과를 생성하는 경우 환경이 공격을 받고 있을 수 있습니다. 이 경우 로그에 나타나는 도메인 컨트롤러가 손상되었을 수 있으므로 검사가 필요합니다. 각 인증에 대해 소스 호스트 이름이 소스 IP와 일치하는지 확인하십시오. IP가 익숙하지 않은 경우 사용자 환경에서 시도된 Certifried 공격이 있을 수 있습니다. 도움이 필요하시면 저희에게 연락하세요.

    데모 준비가 되셨습니까?
    오늘 등록하십시오.

    최근 게시물

    , 2을 2024nd 수 있습니다

    Silverfort RSA 2024에서 연구 공개: MITM을 사용하여 SSO에 대한 최신 인증 방법 우회

    사월 24 일 (2024 년)

    AD 위생을 강화하는 5가지 방법 Silverfort  

    26년 2024월 XNUMX일

    Identity Underground 보고서: 가장 중요한 ID 보안 격차에 대한 심층적인 통찰력  

    월 2nd, 2024

    Air-Gapped 네트워크를 위한 MFA 보호
    더보기

    Follow Us

    인증 공격 막기