微软漏洞对域控制构成风险
2024-11-27

最近披露的微软Active Directory证书服务(ADCS)中的一个漏洞,标识为CVE-2024-49019,可能允许攻击者提升权限并控制域。

该漏洞的CVSS评分为7.8,属于权限提升(EoP)问题。如果被利用,攻击者可能会获得域管理员权限,从而危及整个网络的安全。

微软的公告分享了几个降低风险的方法,包括删除用户或组的过度注册权限、消除未使用的证书模板,以及保护允许用户在请求中指定主题的模板。

虽然尚未报告有主动攻击,但该漏洞的低复杂性和高利用可能性使其成为企业必须立即解决的关键问题。

Sectigo的高级研究员Jason Soroko强调了仔细管理ADCS权限以防止未经授权访问的重要性。他表示:“在ADCS中给予过多用户注册或自动注册权限会使得跟踪谁获得证书及其原因变得困难。这种缺乏监督可能导致未经授权的访问,甚至攻击者获得域管理员控制权。”

“在认证机构中保留未使用的证书模板可能会加剧这个问题。未使用的模板可能被滥用或错误颁发,进一步复杂化证书跟踪。”

为了增强安全性,Soroko建议使用现代证书生命周期管理(CLM)工具。他表示:“CLM解决方案通过跟踪证书的颁发、续订和撤销来提高可见性。通过仔细设置注册权限、移除不必要的模板并利用CLM工具,组织可以创建一个安全透明的证书环境。这不仅降低了未经授权的证书颁发风险,还根据最佳安全实践简化了证书管理。”