Журнал "Information Security/ Информационная безопасность" #1, 2025

Центр сертификации Microsoft Certifi- cate Authority (CA) – один из ключевых сервисов вендора, который применяется для обеспечения безопасности и ста- бильности работы информационных систем. С его помощью выпускают, при- останавливают и отзывают сертификаты, используемые внутри компании для раз- личных технологических нужд. Долгое время существовала уверен- ность, что Microsoft CA "просто есть", успешно решая текущие задачи. Несмот- ря на многочисленные вопросы по пово- ду ограниченного функционала, удобства использования и неактуальности интер- фейсов, продукт, предоставляемый бес- платно и входящий в комплект серверной ОС, оставался вне зоны критики. Но длиться бесконечно долго это не могло. Постепенно, с одной стороны, из-за внешнего давления, а с другой стороны, из-за роста требований к информацион- ной безопасности в современной инфра- структуре, назрела необходимость соз- дания отечественных продуктов в данной области. Да и в целом, тренд на цифро- вой суверенитет и импортозамещение, а также ужесточающиеся требования регуляторов значительно этому способ- ствовали. Ведь для компаний, являю- щихся субъектами критической инфор- мационной инфраструктуры, использо- вание российского решения с целью обеспечения такого важного технологи- ческого процесса, как управление сер- тификатами, становится не только вопро- сом надлежащей осмотрительности, но и соблюдения требований законодатель- ства, которое установило четкие сроки перехода на отечественное ПО. Поговорим об уязвимостях Все вышеперечисленные риски исполь- зования Microsoft CA в текущих условиях вам, безусловно, хорошо известны. Но в этой статье мы хотели бы поднять гораздо более важную и не столь очевидную для многих проблему и рассказать о критич- ных уязвимостях центра сертификации от Microsoft, которые создают серьезные и реальные угрозы безопасности ИТ- инфраструктуры. Накопленные годами уязвимости кон- фигурации сервисов AD CS (Active Direc- tory Certificate Services), включая сервис Microsoft CA, легли в основу отчета 1 , опубликованного компанией SpecterOps. В аналитическом документе собран вну- шительный набор выявленных в конфи- гурации сервисов AD CS уязвимостей, которые могут привести к критическим последствиям для компаний. Чтобы понять масштаб этих последствий для безопасности инфраструктуры, стоит чуть глубже разобраться с тем, что же такое сервисы AD CS и зачем они нужны. Сервисы AD CS созданы для выдачи сертификатов инфраструктуры открытых ключей (PKI), используемых в протоколах безопасной связи и проверки подлинно- сти. AD CS широко применяются в кор- поративных сетях для управления сер- тификатами систем, пользователей, при- ложений и других компонентов. То есть некорректные настройки и уязвимости AD CS могут быть использованы для кражи учетных данных, повышения при- вилегий в домене и получения полного контроля над сетью компании, что, конечно, является недопустимым. И что же с этим делать, спросите вы. Сегодня на российском рынке есть несколько отечественных центров сер- тификации, призванных решить нако- пившиеся проблемы вокруг безопасности сервисов AD CS и Microsoft CA. Одно из таких решений – SafeTech CA, разрабо- танное SafeTech Group, технологическим лидером создания современных инстру- ментов безопасности для обеспечения цифрового доверия в инфраструктуре и онлайн-сервисах на базе средств крип- тографической защиты информации. SafeTech CA – не адаптация Open Source, а полностью российский продукт, выпущенный компанией, которая более 14 лет создает решения в области информационной безопасности. При этом сервис обладает гораздо более широким по сравнению с Microsoft СА функционалом и закрывает все уязви- мости из перечня, представленного в отчете компании SpecterOps. Уязвимости сервисов AD CS и Microsoft CA – как обезопасить себя от них Рассмотрим некоторые из уязвимостей и разберем реализацию защиты от них на примере SafeTech CA. Уязвимость "ESC1: Misconfigured Certificate Templates" Шаблон сертификата MS CA (при соот- ветствующей настройке) может позволять заявителю включать поле subjectAltName (SAN) в запрос на сертификат (PKCS#10). В среде Active Directory при проверке личности приоритет отдается полю SAN, если оно присутствует. Это создает угро- зу, так как злоумышленник, указав SAN в CSR, может запросить сертификат для выдачи от имени любого пользователя, включая привилегированных, таких как администратор домена. Решение в SafeTech CA: при выпуске сертификата в SafeTech CA игнорируется значение расширения SAN, указанное в запросе. Значения для SAN вычисляются на базе значений атрибутов пользователя или компьютера, получен- ных из LDAP-каталога согласно настрой- ке шаблона. Таким образом, уязвимость отсутствует "by design". 34 • СПЕЦПРОЕКТ Пять критических уязвимостей Microsoft Certificate Authority, о которых вы не знали ход Microsoft три года назад стал поворотным моментом для обеспечения информационной безопасности в большинстве отраслей экономики. Отсутствие поддержки и обновлений программного обеспечения от вендора создало серьезные проблемы для устойчивости коммерческих и государственных ИТ-инфраструктур. У Александр Санин, генеральный директор SafeTech Lab (SafeTech Group) Фото: SafeTech 1 https://posts.specterops.io/d95910965cd2