WSUS: ADCS ESC8 атака через MITM

Эта ‎статья служит‏ ‎техническим ‎руководством ‎о ‎том, ‎как‏ ‎сочетание ‎сетевого‏ ‎перехвата,‏ ‎MITM-атак ‎и ‎использования‏ ‎ADC-систем ‎может‏ ‎привести ‎к ‎значительным ‎нарушениям‏ ‎безопасности,‏ ‎подчеркивая ‎необходимость‏ ‎принятия ‎надежных‏ ‎мер ‎безопасности ‎в ‎сетевых ‎конфигурациях‏ ‎и‏ ‎процессах ‎обработки‏ ‎сертификатов.

📌Конфигурация ‎и‏ ‎уязвимости ‎WSUS: В ‎статье ‎подробно ‎описывается,‏ ‎как‏ ‎можно‏ ‎использовать ‎сервер‏ ‎служб ‎обновления‏ ‎Windows ‎Server‏ ‎(WSUS),‏ ‎настроенный ‎для‏ ‎работы ‎по ‎протоколу ‎HTTP. ‎Доступ‏ ‎к ‎конфигурации‏ ‎протокола‏ ‎WSUS-сервера ‎можно ‎получить,‏ ‎запросив ‎определенный‏ ‎раздел ‎реестра. ‎Эта ‎настройка‏ ‎позволяет‏ ‎потенциально ‎перехватывать‏ ‎трафик ‎с‏ ‎помощью ‎таких ‎инструментов, ‎как ‎Wireshark,‏ ‎которые‏ ‎могут ‎перехватывать‏ ‎связь ‎между‏ ‎клиентами ‎и ‎сервером ‎WSUS.

📌Выполнение ‎MITM-атаки: В‏ ‎основе‏ ‎атаки‏ ‎лежит ‎подход‏ ‎«Человек ‎посередине»‏ ‎(MITM), ‎при‏ ‎котором‏ ‎злоумышленник ‎перехватывает‏ ‎и ‎ретранслирует ‎запросы ‎с ‎клиентского‏ ‎компьютера ‎на‏ ‎сервер‏ ‎WSUS. ‎Во ‎время‏ ‎этого ‎процесса‏ ‎злоумышленник ‎может ‎манипулировать ‎сообщениями,‏ ‎перенаправляя‏ ‎запросы ‎на‏ ‎сторонний ‎сервер‏ ‎или ‎манипулируя ‎ответами.

📌Эксплойт ‎ADCS ‎ESC8:‏ ‎Перехваченное‏ ‎сообщение ‎затем‏ ‎используется ‎для‏ ‎проведения ‎атаки ‎на ‎службы ‎сертификации‏ ‎Active‏ ‎Directory‏ ‎(ADCS) ‎ESC8.‏ ‎Это ‎включает‏ ‎в ‎себя‏ ‎передачу‏ ‎перехваченных ‎запросов‏ ‎на ‎веб-страницу ‎регистрации ‎Центра ‎сертификации‏ ‎для ‎запроса‏ ‎сертификата‏ ‎с ‎использованием ‎учетных‏ ‎данных ‎скомпрометированного‏ ‎компьютера. ‎Успешное ‎выполнение ‎этой‏ ‎атаки‏ ‎может ‎позволить‏ ‎злоумышленнику ‎получить‏ ‎несанкционированные ‎сертификаты, ‎которые ‎могут ‎быть‏ ‎использованы‏ ‎для ‎дальнейших‏ ‎атак ‎в‏ ‎сети.

📌Набор ‎инструментов: PKINITtools ‎и ‎скрипты ‎для‏ ‎управления‏ ‎запросами‏ ‎Kerberos ‎и‏ ‎их ‎экспорта‏ ‎помогают ‎извлекать‏ ‎и‏ ‎использовать ‎учетные‏ ‎данные ‎из ‎перехваченного ‎трафика ‎для‏ ‎проверки ‎подлинности‏ ‎с‏ ‎помощью ‎ADC ‎и‏ ‎запроса ‎сертификатов.

📌Рекомендации‏ ‎по ‎обеспечению ‎безопасности: ‎Атака‏ ‎демонстрирует‏ ‎значительный ‎риск‏ ‎для ‎безопасности,‏ ‎связанный ‎с ‎использованием ‎незащищенных ‎протоколов‏ ‎(HTTP)‏ ‎для ‎критически‏ ‎важной ‎инфраструктуры,‏ ‎такой ‎как ‎WSUS ‎и ‎ADCS.‏ ‎В‏ ‎статье‏ ‎предполагается, ‎что‏ ‎защита ‎этих‏ ‎коммуникаций ‎с‏ ‎помощью‏ ‎HTTPS ‎и‏ ‎внедрение ‎строгого ‎контроля ‎доступа ‎и‏ ‎мониторинга ‎могут‏ ‎снизить‏ ‎вероятность ‎таких ‎атак.