Die Public Key Infrastructure (PKI) ist für die meisten Unternehmen eine grundlegende Technologie, wenn es um die Aufrechterhaltung der Sicherheit geht. Aber es ist auch eine Technologie, die nur allzu leicht eingesetzt und im Hintergrund ausgeführt wird, ohne dass man sich Gedanken über Updates oder laufende Verbesserungen macht.
Wie kann man also sicherstellen, dass die PKI weiterhin den sich entwickelnden Standards entspricht? Und was kann schiefgehen, wenn Sie nicht diesen proaktiven Ansatz nicht verfolgen?
Unter dieser Prämisse führten wir ein Gespräch mit Chris Hickman, dem Chief Security Officer von Keyfactor, sowie mit Will Schroeder und Lee Christensen, den technischen Architekten von SpecterOps, einem Anbieter von Cybersicherheitslösungen für Angreifer, der Verteidigung gegen fortgeschrittene Angriffe.
Kürzlich haben Will und Lee dieses Problem mit der Veröffentlichung eines neuen Whitepaper veröffentlicht haben, das auf ihren Untersuchungen zu Microsoft Active Directoryveröffentlicht haben, das eine breite Palette von häufigen Fehlkonfigurationen in Microsofts PKI-Implementierung enthält, die ausgenutzt werden können. Hier sind einige der Highlights aus unserer Diskussion.
Was sind einige Ihrer wichtigsten Erkenntnisse aus dem Bericht?
Lee: Was uns bei den Active Directory-Zertifikatsdiensten besonders aufgefallen ist, ist, dass sie in Unternehmensnetzwerken allgegenwärtig sind. Aber er ist auch alt und nicht sehr gut bekannt. Insgesamt gibt es nicht viele Sicherheitsüberlegungen dazu, obwohl er überall eingesetzt wird und für die Authentifizierung und den Betrieb des Netzwerks von zentraler Bedeutung ist. Das macht es zu einem idealen Ziel für Angreifer.
Will: Das Interessante an dieser Untersuchung ist, dass die Active Directory-Zertifikatsdienste so umfangreich und in Active Directory integriert sind, dass es nicht nur eine Schwachstelle oder eine Möglichkeit der Eskalation gibt. Wir haben es in eine Vielzahl von Möglichkeiten aufgeteilt, wie Menschen Zertifikate stehlen oder böswillig Zertifikate zum Zwecke des Diebstahls von Anmeldeinformationen und der Maschinenpersistenz registrieren können. Am Ende haben wir alles in Anmeldedaten-Diebstahl, Domänen-Eskalation und Domänen-Persistenz kodiert, die alle für sich genommen sehr umfangreich und interessant sind.
Lee: Das Thema der Eskalation von Domänen ist in letzter Zeit ebenfalls sehr aktuell geworden. Ende Juli gab es eine Menge Nachrichten über einen neue Art von NTLM-Relay-Angriff namens PetiPotam. Die Hauptschwachstelle bei diesem Angriff sind die Active Directory-Zertifikatsdienste, die es einem nicht privilegierten Benutzer ermöglichen, über das Windows-Netzwerk zu Domänenadministratorrechten aufzusteigen.
Ein weiterer wichtiger Punkt ist die Frage, wie sich ein Angreifer mithilfe von Active Directory-Zertifikatsdiensten Zugang zu einem Netzwerk verschaffen oder darin verbleiben kann. Ein gutes Beispiel hierfür ist die Anmeldung in einem Windows-Netzwerk mit Ihrem Benutzernamen und Kennwort. Mit den Active Directory-Zertifikatsdiensten können Sie sich nun mit einem Zertifikat anmelden, das von Ihrem Kennwort völlig unabhängig ist. Aber viele Netzwerkschützer wissen das nicht. In diesem Fall kann sich der Angreifer, selbst wenn er den Computer löscht oder das Kennwort eines kompromittierten Benutzers zurücksetzt, immer noch als dieser Benutzer anmelden oder auf den Computer zugreifen, wenn er über das Zertifikat dieses Benutzers oder dieses Computers verfügt. Dies ist ein großer blinder Fleck auf der Seite der Erkennung und der Reaktion auf Vorfälle, dessen sich die Verteidiger bewusst sein müssen.
Wie wirkt sich die Tatsache, dass viele Unternehmen nicht unbedingt wissen, dass sie Zertifikate an so vielen verschiedenen Stellen verwenden, auf diese Schwachstellen aus?
Wird: Zertifikate sind allgegenwärtig, und wenn die Menschen die Auswirkungen auf die Sicherheit nicht verstehen und begreifen, ist es extrem einfach, ein Bit in einer Zertifikatsvorlage umzukehren, das das gesamte Netzwerk gefährdet. Wir haben festgestellt, dass die Vertrautheit mit den Active Directory-Zertifikatsdiensten insgesamt fehlt.
Lee: Ein weiterer Punkt ist, dass die Active Directory-Zertifikatsdienste 2001 auf den Markt kamen und sich über die Jahre weiterentwickelt haben. Da er schon so lange in Unternehmen im Einsatz ist, kann es leicht zu Fehlkonfigurationen kommen oder es können Dinge aktiviert werden, die eine unsichere Konfiguration verursachen. Für die Teams ist es wichtig, die Software zu warten und zu überprüfen, wie es um sie bestellt ist.
Welche Risiken sind mit der mangelnden Vertrautheit mit dem Programm verbunden?
Chris: Wir haben festgestellt, dass die Leute Konfigurationsänderungen aus der Not heraus vornehmen. Sie finden einen Wissensartikel darüber, wie es geht, und es funktioniert. Aber sie verstehen die nachgelagerten Auswirkungen nicht vollständig, und diese scheinbar geringfügigen Änderungen wirken sich im Laufe der Zeit auf das Vertrauen aus, das man in diese Infrastruktur setzt. Das öffnet die Büchse der Pandora für Schwachstellen.
Wille: Wir mögen den Begriff Fehlkonfigurationsschulden. Diese kleinen Änderungen, die von jemandem vorgenommen werden, der nur versucht, seine Arbeit zu erledigen, summieren sich mit der Zeit. Wir haben viel Mitgefühl für Systemadministratoren, denn es ist sehr leicht, diese Systeme versehentlich falsch zu konfigurieren, und zwar auf eine tiefgreifende Weise.
Chris: Meiner Erfahrung nach müssen wir die Dinge im Kontext sehen. Active Directory Certificate Services ist eine CA. Eine PKI ist eine ganze Infrastruktur, die eine Zertifizierungsstelle und viele verschiedene andere Dinge umfasst. Es ist so, als hätte man einen Motor, ein Lenkrad und vier Reifen - das macht es nicht unbedingt zu einem Auto. Es ist die Art und Weise, wie all diese Systeme zusammenarbeiten, die Ihnen das Vertrauen geben, mit hoher Geschwindigkeit zu fahren.
Viele Leute sehen sich die Zertifikatsdienste an und sagen, dass sie so gut wie jede andere PKI sind, obwohl die gesamte Infrastruktur nicht vorhanden ist, um sie zum richtigen System für eine Organisation zu machen. Es verfügt nicht über alle Sicherheitsfunktionen und kompensierenden Kontrollen, die man braucht, um die technischen Schulden zu erkennen, die man aufbaut, und, was noch wichtiger ist, die Risikoschulden, die dahinter stehen.
Gibt es Trends, die Sie beobachten, die zu solchen Situationen führen, in denen Active Directory-Zertifikatsdienste übersehen oder falsch konfiguriert werden?
Wird: Wir stellen oft fest, dass sich die Sicherheitsteams und die anderen Teams, die Active Directory verwalten, nicht ausreichend austauschen, so dass diese Probleme leicht übersehen werden können. Oder wenn Unternehmen noch nie eine PKI-Bewertung durchgeführt haben, wissen sie vielleicht nicht, was die Probleme sind.
Lee: Überraschenderweise hat eine Vielzahl von Herstellerdokumentationen zu diesen Schwachstellen geführt. Mehrere Produkte haben vorgeschlagen, Einstellungen für alternative Namen (SAN) zu aktivieren, die zu einem sehr unsicheren Zustand der PKI führen können. Es ist komplex, und selbst die Anbieter wissen nicht genau, was sie tun müssen.
Außerdem ist es in Active Directory-Umgebungen und großen Netzwerken im Allgemeinen sehr schwierig, die Auswirkungen von Änderungen zu verstehen. Was passiert, wenn ich diese eine Einstellung ändere oder einen Benutzer zu dieser einen Gruppe hinzufüge? Wird das jemandem erlauben, seine Privilegien zu erweitern? Unser Ziel ist es, diese Transparenz zu erhöhen.
Chris: Ich stimme zu, dass die Sichtbarkeit eine große Rolle spielt. Das ist einer der Gründe, warum Keyfactordie Plattform Command einen Überblick darüber bietet, welche Zertifikate eingesetzt werden und warum sie eingesetzt werden, so dass Sie diese Anomalien finden und Richtlinien konsistent auf jedes ausgestellte Zertifikat anwenden können. Auf diese Weise können Sie Schwachstellen oder Fehlkonfigurationen erkennen, bevor sie zu einem Problem werden.
Ein weiterer Punkt, den ich hinzufügen möchte, ist, dass es schwierig ist, den Führungskräften zu erklären, dass die langfristige Verwaltung der Komplexität mit Kosten verbunden ist, wenn man etwas kostenlos implementiert. Die meisten Organisationen sind einfach nicht in der Lage, sich um das zu kümmern, was PKI am Ende des Tages wird.
Gibt es etwas, was bei einer PKI schief gehen kann und was Ihnen häufig begegnet?
Chris: Die größten Fehler sind manchmal die, die am einfachsten zu machen sind. In diesem Fall ist es so etwas wie das Umlegen eines Schalters, der es erlaubt, willkürlich alternative Namen in Zertifikate einzutragen. Insgesamt hebt die Untersuchung einige der Gefahren hervor, die auf der Tatsache beruhen, dass Active Directory Certificate Services vor 20 Jahren konfiguriert wurde und sich nicht unbedingt mit der gleichen Geschwindigkeit oder dem gleichen Sicherheitstempo entwickelt hat wie einige andere Produkte.
Will: Es gab eine bestimmte Fehlkonfiguration, die wir in unserem Bericht als Eskalationsstufe acht bezeichnen. Die ersten sieben sind Probleme, bei denen die Leute Dinge nach der Installation falsch konfigurieren mussten. Eskalationsstufe acht ist ein Problem, von dem wir uns wünschen, dass Microsoft es behebt.
Lee: In diesem Fall gibt es eine zusätzliche Serverrolle, die häufig mit den Active Directory-Zertifikatsdiensten aktiviert wird und es Ihnen ermöglicht, ein Zertifikat über HTTP anzufordern.
Wenn dies aktiviert ist, was häufig der Fall ist, kann jeder ein Zertifikat über das HTTP-Protokoll anfordern. Das Problem dabei ist, dass es standardmäßig NTLM für die Authentifizierung verwendet. Es gibt einen Angriff namens NTLM-Relay, der es Angreifern ermöglicht, sich als Benutzer auszugeben. Wenn Will versucht, eine Verbindung zu meinem Rechner herzustellen, kann ich mich als Will ausgeben und dann eine Verbindung zu den Active Directory-Zertifikatsdiensten herstellen und ein Zertifikat als er anfordern. Oder es gibt Tools wie PetitPotam oder SpoolSample, mit denen ich einen beliebigen Computer im Netzwerk dazu zwingen kann, eine Verbindung zu mir herzustellen. Dann kann ich mich mit Hilfe von NTLM-Relay als dieser Domänencontroller ausgeben und von diesem HTTP-Eingangspunkt aus ein Zertifikat von Active Directory Certificate Services anfordern. Ich kann dieses Zertifikat erhalten und mich dann als Domänencontroller anmelden, wodurch ich Zugriff auf die Kennwörter der Benutzer und ihre Hashes erhalte.
Dies kann dazu genutzt werden, ein Netzwerk zu kompromittieren, indem man von niedrigen Privilegien bis hin zum Waldadministrator vorstößt. Es ist eine Schwachstelle, die wir immer wieder in Umgebungen sehen.
Das ist nicht nur theoretisch. Konnten Sie mit dieser Methode einen Kompromiss erzielen?
Will: Das ist richtig. Anbieter und Organisationen zögern manchmal, sich die Mühe zu machen, Probleme zu beheben, die als theoretisch angesehen werden. Wir versuchen, dies aus ethischen Gründen zu tun, aber wir haben festgestellt, dass sich nur dann etwas ändert, wenn die Leute sehen können, dass die Angriffe real sind.
Lee: Wir haben alle Eskalationsszenarien verwendet, die wir identifiziert haben, und sogar alle von uns identifizierten Handelsmethoden. Das sind tatsächliche Dinge, die Bösewichte in Ihrem Netzwerk tun können. Als Reaktion darauf haben wir ein Defensiv-Toolset entwickelt, damit die Leute anfangen können, diese Dinge im Auge zu behalten. Eines dieser Tools ist PSPKIAuditdas diese Probleme mit Active Directory-Zertifikatsdiensten identifizieren kann.
Wir haben auch ein Produkt namens Bloodhound das es in einer Version für open-source und einer Version für Unternehmen gibt. Wir arbeiten aktiv daran, die Entdeckungen dieser Schwachstellen auch in dieses Produkt zu integrieren, damit die Leute sie sehen und in ihren Umgebungen beheben können.
Welche Empfehlungen haben Sie für PKI-Architekten, um diese Schwachstellen zu beheben?
Wird: Tools wie PSPKIAudit zählen die uns bekannten Fehlkonfigurationen auf und ermöglichen es Ihnen, diese zu beheben, aber denken Sie daran, dass es nicht ausreicht, nur diese eine Sache zu beheben. Man muss verstehen, welche Einstellungen vorhanden sind und warum sie verwendet werden, damit man die bestehenden Funktionen nicht kaputt macht.
Das heißt, wenn jemand ein Konto oder ein System kompromittiert, können Sie dann feststellen, welche Zertifikate von diesem Benutzer ausgestellt wurden? Das ist für viele Unternehmen ein sehr schwer zu lösendes Problem, da die Implementierung der Active Directory-Zertifikatsdienste keine wirklich guten Verwaltungsfunktionen bietet.
Chris: Ein weiterer Punkt ist, dass es bei PKI sehr schwierig ist, einmal aufgebautes Vertrauen wiederherzustellen. Wenn man Zertifikate mit willkürlichen SANs hat und keine Möglichkeit, sie zu finden und zu widerrufen, kann man zwar die Konfigurationseinstellung umdrehen, aber das behebt nicht unbedingt die Probleme. Es ist schwierig, die Pferde wieder in den sprichwörtlichen Stall zu bringen.
Möchten Sie mehr über die Schwachstellen in Active Directory-Zertifikatsdiensten erfahren und was Ihr Unternehmen dagegen tun kann? Klicken Sie hier, um sich die vollständige Podiumsdiskussion mit Chris, Will und Lee anzusehen.
