ADCS证书服务攻击
漏洞背景
2021年6月17日,国外安全研究员 Will Schroeder 和 Lee Christensen 共同发布了针对ADCS(Active Directory Certificate Service, 活动目录证书服务)的攻击手法。同年8月5日,在Black Hat 2021上 Will Schroeder 和 Lee CHristensen 对该攻击手法进行了详细讲解。至此,ADCS攻击第一次进入人们的视野。
2022年5月10日,微软发布5月份安全补丁更新,其中CVE-2022-26923漏洞引起了人们的注意,这是一个域内权限提升漏洞,该漏洞允许低特权用户在安装了ADCS的默认活动目录环境中将权限提升为域管理员,危害极大。
基础知识
PKI
PKI(Public Key Infrastructure,公钥基础设施)是提供公钥加密和数字签名服务的系统或平台,是一个包括硬件、软件、人员、策略和规程的集合,实现基于公钥密码体制的密钥和证书的产生、管理、存储、分布和撤销等功能。企业通过采用KPI框架管理密钥和证书,可以建立一个安全的网络环境。
PKI的基础技术包括公钥加密、数字签名、数据完整性机制、数字信封(混合加密)、双重数字签名等。PKI体系能够实现的功能包括身份验证、数据完整性、数据机密性、操作的不可否认性。
微软的ADCS就是PKI的实现,ADCS能够与现有的ADDS进行结合,用于身份验证、公钥加密和数字签名等。ADCS提供所有与PKI相关的组件作为角色服务。每个角色服务负责证书基础架构的特定部分,同时协同以工作形成完整的解决方案。