WSUS: ADCS ESC8 атака через MITM
Эта статья служит техническим руководством о том, как сочетание сетевого перехвата, MITM-атак и использования ADC-систем может привести к значительным нарушениям безопасности, подчеркивая необходимость принятия надежных мер безопасности в сетевых конфигурациях и процессах обработки сертификатов.
📌Конфигурация и уязвимости WSUS: В статье подробно описывается, как можно использовать сервер служб обновления Windows Server (WSUS), настроенный для работы по протоколу HTTP. Доступ к конфигурации протокола WSUS-сервера можно получить, запросив определенный раздел реестра. Эта настройка позволяет потенциально перехватывать трафик с помощью таких инструментов, как Wireshark, которые могут перехватывать связь между клиентами и сервером WSUS.
📌Выполнение MITM-атаки: В основе атаки лежит подход «Человек посередине» (MITM), при котором злоумышленник перехватывает и ретранслирует запросы с клиентского компьютера на сервер WSUS. Во время этого процесса злоумышленник может манипулировать сообщениями, перенаправляя запросы на сторонний сервер или манипулируя ответами.
📌Эксплойт ADCS ESC8: Перехваченное сообщение затем используется для проведения атаки на службы сертификации Active Directory (ADCS) ESC8. Это включает в себя передачу перехваченных запросов на веб-страницу регистрации Центра сертификации для запроса сертификата с использованием учетных данных скомпрометированного компьютера. Успешное выполнение этой атаки может позволить злоумышленнику получить несанкционированные сертификаты, которые могут быть использованы для дальнейших атак в сети.
📌Набор инструментов: PKINITtools и скрипты для управления запросами Kerberos и их экспорта помогают извлекать и использовать учетные данные из перехваченного трафика для проверки подлинности с помощью ADC и запроса сертификатов.
📌Рекомендации по обеспечению безопасности: Атака демонстрирует значительный риск для безопасности, связанный с использованием незащищенных протоколов (HTTP) для критически важной инфраструктуры, такой как WSUS и ADCS. В статье предполагается, что защита этих коммуникаций с помощью HTTPS и внедрение строгого контроля доступа и мониторинга могут снизить вероятность таких атак.