Журнал "Information Security/ Информационная безопасность" #1, 2025

Уязвимость "ESC2: Misconfigured Certificate Templates" Уязвимость "eSC2: Misconfigured Certificate Templates" вытекает из ESC1, только для шаблонов с EKU "Any Purpo- se" или без EKU (Extended Key Usage – это расширение сертификата, которое указывает одну или несколько целей, для которых действителен сертифици- рованный открытый ключ). Шаблон сер- тификата MS CA может включать в себя EKU "Any Purpose" или не включать EKU вовсе. EKU "Any Purpose" позволяет зло- умышленнику получить сертификат для любых целей, включая аутентификацию клиента, аутентификацию сервера, под- пись кода и т.д. Сертификаты без EKU, которые действуют как сертификаты подчиненного центра сертификации, могут быть использованы для любых целей и применяться для подписания новых сертификатов. Злоумышленник может подставить нужные ему значения SAN в CSR и запросить сертификат. Решение в Safetech Ca: при выпус- ке сертификата в SafeTech CA игнориру- ется значение расширения SAN, указанное в запросе. Значения для SAN вычисляются на базе значений атрибутов пользователя или компьютера, полученных из LDAP- каталога согласно настройке шаблона. Уязвимость "ESC3: Misconfigured Enrollment Agent Templates" В AD CS существует понятие "агент регистрации" (как отдельный EKU с OID = 1.3.6.1.4.1.311.20.2.1), он позволяет субъекту запрашивать сертификат от имени другого пользователя. Обычно в центре сертификации установлены раз- решения на становление агентом регист- рации (по группам, по шаблонам и т.д.), однако доменная политика по умолчанию их не ограничивает ("Не ограничивать агентов регистрации"). Это приводит к тому, что любой пользователь может выпустить сертификат на любого другого субъекта домена по любому шаблону. Решение в Safetech Ca: не при- менимо для SafeTech CA, так как схема выпуска сертификатов с агентом регист- рации не поддерживается. Уязвимость "ESC8: NTLM Relay to AD CS HTTP Endpoints" Enrollment-сервисы MS CA (CEP, CES, NDES) поддерживают возможность аутентификации как через Kerberos, так и через NTLM (по умолчанию поддержи- вают аутентификацию Negotiate через заголовок HTTP Authorization). В случае использования протокола HTTP для доступа к Enrollment-сервисам, они под- вержены атаке с NTLM-ретрансляцией. Таким образом, злоумышленник, ском- прометировав чужой NTLM-хэш, может получить доступ к выпуску сертификатов от имени жертвы. Решение в Safetech Ca: в SafeTech CA аутентификация Negotiate через заго- ловок HTTP Authorization возможна только по Kerberos-тикету, NTLM не поддержива- ется. В SafeTech CA сервисы CEP и CES поддерживают работу только по HTTPS. Уязвимость "DPERSIST1: Forging Certificates with Stolen CA Certificates" Cертификат центра сертификации AD CS зачастую хранится на сервере CA и доступен для извлечения с закрытым ключом даже через GUI-оснастку MMC, так как не имеет дополнительных паролей или ПИН-кодов, закрывающих к нему доступ. Если злоумышленник получает сертификат и ключ центра сертификации, то он может самостоятельно выпустить поддельные сертификаты на других поль- зователей и воспользоваться ими (напри- мер, выпустить сертификат доменного администратора). Такие сертификаты будут приня- ты инфраструктурой как действительные. Решение в Safetech Ca: SafeTech CA обес- печивает поддержку хранения ключей ЦС на внешних HSM. При работе без поддержки HSM рекомендуется исполь- зование Linux, где нет понятия "реестр ОС". В этом случае доступ к ключам рег- ламентируется ядром операционной системы через разрешения файлов. Вместо выводов Мы рассмотрели далеко не полный перечень уязвимостей, с которыми стал- киваются ИТ- и ИБ-специалисты, обслу- живающие Microsoft-инфраструктуру и сервисы AD CS, включая Microsoft CA. Поэтому задача повышения уровня информационной безопасности при использовании данных сервисов весьма нетривиальна и достаточно трудоемка. Да и зачастую закрыть эти и другие подобные уязвимости могут только спе- циалисты, обладающие соответствующи- ми компетенциями, а на рынке труда нынче большой дефицит высококвали- фицированных кадров. Именно поэтому в текущих реалиях существенно проще и дешевле решить данную задачу перейдя на отечественное решение, которое изна- чально проектировалось и разрабатыва- лось исходя из понимания существующих уязвимостей сервисов Microsoft. Кроме того, российские разработчики учли все "боли" использования Microsoft CA, а также пожелания заказчиков в части функциональности и юзабилити сервиса и предлагают рынку по-настоящему удоб- ные и надежные решения для управления технологическими сертификатами. А бес- шовный переход позволяет быстро и без потерь заменить зарубежное решение на безопасный, надежный и соответствую- щий всем требованиям законодательства отечественный продукт. l • 35 CertifiCate authority www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ SafeTech Group см. стр. 68 NM Реклама Фото: SafeTech