Microsoft’un Active Directory Sertifika Hizmetlerinde (AD CS), saldırganların ayrıcalıkları yükseltmesine ve potansiyel olarak etki alanı yöneticisi erişimi elde etmesine olanak tanıyan kritik bir güvenlik açığı.
ESC15 veya “EKUwu” olarak adlandırılan bu yeni güvenlik açığı, TrustedSec tarafından Ekim 2024’ün başlarında keşfedildi ve o zamandan beri popüler saldırı güvenlik araçlarına eklendi.
Resmi olarak CVE-2024-49019 olarak takip edilen güvenlik açığı, belirli yapılandırmalara sahip sürüm 1 sertifika şablonlarını kullanan AD CS ortamlarını etkiliyor. Temel kayıt haklarına sahip saldırganların, amaçlanan kısıtlamaları atlayarak ve yetkisiz ayrıcalıklar elde ederek sertifika isteklerini değiştirmesine olanak tanır.
ESC15, ilk olarak 2021’de SpecterOps araştırmacıları Will Schroeder ve Lee Christensen tarafından belgelenen, ESC1’den ESC14’e kadar bilinen önceki AD CS güvenlik açıklarını temel alır. Bu son keşif, AD CS altyapılarının güvenliğinin sağlanmasında devam eden zorlukları göstermektedir.
Bu istismar, AD CS’nin sertifika isteklerini işleme biçimindeki tuhaflıktan yararlanıyor. Saldırganlar, şablonda belirtilen amaçlanan Genişletilmiş Anahtar Kullanımı (EKU) niteliklerini geçersiz kılan uygulama ilkelerini içeren Sertifika İmzalama İstekleri (CSR’ler) oluşturabilir.
Analyze cyber threats with ANYRUN's powerful sandbox. Black Friday Deals : Get up to 3 Free Licenses.
Bu, istemci kimlik doğrulaması, sertifika istek aracısı ve hatta kod imzalama yetenekleri gibi yükseltilmiş ayrıcalıklara sahip sertifikalar oluşturmalarına olanak tanır.
Özellikle endişe verici olan, yaygın olarak kullanılan WebServer şablonundan yararlanma yeteneğidir. Bu şablonun genellikle istemci kimlik doğrulama izinlerini içermemesine rağmen, güvenlik açığı saldırganların bu yetenekleri eklemesine olanak tanıyor ve bu da potansiyel olarak etki alanının güvenliğinin aşılmasına yol açıyor.
Microsoft Sorunu Ele Aldı
Saldırganların etki alanı yöneticisi ayrıcalıkları kazanma potansiyeli göz önüne alındığında Microsoft, gelecekte istismar olasılığının yüksek olduğunu değerlendirdi. AD CS kullanan kuruluşlara, ortamlarını korumak için derhal harekete geçmeleri tavsiye edilir.
Önerilen azaltma adımları şunları içerir:
- Sertifika şablonlarındaki kayıt izinlerinin gözden geçirilmesi ve sıkılaştırılması.
- Saldırı yüzeyini azaltmak için kullanılmayan sertifika şablonlarının kaldırılması.
- Özel konu istekleri için ekstra imzalar veya onay süreçleri gibi ek korumaların uygulanması.
- Yetkisiz EKU’lar veya olağandışı konu adları için şema sürüm 1 şablonlarıyla birlikte verilen tüm geçerli sertifikaların denetlenmesi.
Microsoft, Kasım Yaması Salı güncellemelerinin bir parçası olarak 12 Kasım 2024’te ESC15 için resmi bir düzeltme yayınladı. Ancak yöneticilere, AD CS ortamlarının güvenliğini sağlamak için yalnızca yamayı uygulamanın ötesinde proaktif önlemler almaları tavsiye edilir.
Kuruluşlar dijital kimlikleri yönetmek için AD CS’ye güvenmeye devam ederken, ESC15’in keşfi, kurumsal PKI ortamlarında uygun yapılandırmanın ve devam eden güvenlik değerlendirmelerinin kritik öneminin net bir şekilde hatırlatılmasına hizmet ediyor.
Siber güvenlik ekipleri, Active Directory altyapılarını etkili bir şekilde korumak için uyanık kalmalı ve ortaya çıkan tehditler hakkında bilgi sahibi olmalıdır.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın