Zero-Day in Active Directory Certificate Services: Researcher Exposes CVE-2024-49019 with PoC
2024/11/28 SecurityOnline — Active Directory Certificate Services (AD CS) に存在する、深刻なゼロデイ脆弱性 CVE-2024-49019 (CVSS:7.8) が、TrustedSec のセキュリティ研究者により発見された。この脆弱性は、証明書テンプレート version 1 の機能を悪用するものであり、登録権限を持つ攻撃者に対して、大幅な特権昇格を許す可能性が生じる。この脆弱性は、Microsoft の November Patch Tuesday で修正されたが、その潜在的な影響については、より詳細に調査する必要があるだろう。
この脆弱性は、デフォルトの 証明書テンプレート version 1 を操作することで、悪意のアプリケーション・ポリシーを注入してしまう機能に起因する。TrustedSec の分析では、「攻撃者が作成する CSR (Certificate Signing Request) 内のアプリケーション・ポリシーが、対象となるテンプレートで指定された、コンフィグ済みの Extended Key Usage よりも優先されてしまう」と説明されている。WebServer テンプレートを悪用する攻撃者は、このバイパスにより、クライアント認証/証明書要求エージェント/コード署名証明書などのリクエストを達成できる。
この脆弱性は、実環境での侵入テスト中に発見されたものである。この侵入テストで判明したのは、証明書管理インターフェース (MMC:management interface) で、キー使用フィールドの操作を可能にする異常な動作である。研究者たちは、Server Authentication の目的を、Client Authentication 認証ポリシーで置き換えることに成功した。そして、この逸脱により、管理者としての不正な LDAP 認証が容易になる。
研究者たちは、「これはミスコンフィグではなく、Application Policies の追加が可能になってしまうバグである」と指摘している。彼らは、この手口を、ESC15 と名付けた。この名称は、以前に特定された AD CS テクニックの、ESC1/ESC2 を継承するものである。
TrustedSec チームは、複数のクライアントで脆弱性 CVE-2024-49019 をテストし、15件の環境のうちの 10件が、リスクにさらされていることを発見した。この脆弱性の悪用に成功すると、ドメイン管理者権限が与えられ、不正な証明書を使用したコード署名などの、危険な操作が可能になる。また、TrustedSec の研究者たちは、拡張可能な C&C フレームワーク全体にわたって攻撃を武器化する、Beacon Object Files (BOFs) を開発して GitHub で公開した。
ある研究者は、「すべての ESC 攻撃は、悪用を可能にする “テンプレートのミスコンフィグ” に起因する。しかし、この脆弱性の実態は、ミスコンフィグではなくバグである」と指摘している。
TrustedSec と Microsoft は、以下のステップを公開することで、この脆弱性を緩和している。
- 登録権限の制限:登録権限の過度に広範な付与を控え、必要なアカウントのみに与える。
- 不要テンプレートの削除:攻撃対象領域を削減するために、不要なテンプレートを削除する。
- テンプレートのセキュリティ強化:証明書マネージャーの承認/追加のリクエスト署名/テンプレートの誤用監視などを実施する。
テンプレート version 1 を使用している環境では、[Supplied in the request] において、[Source of subject name] が設定されていないことを確認する。このリスクの軽減において、きわめて重要なことは。ベスト・プラクティスに従った証明書テンプレートの保護である。
Active Directory の CSR (Certificate Signing Request) 関連する、ゼロデイ脆弱性が発生しました。すでに、PoC エクスプロイトも提供されているようであり、ご利用のチームにとっては、注意が必要な状況です。よろしければ、Active Directory で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.