Am 12. November 2024 veröffentlichte Microsoft einen Sicherheitspatch für eine gefährliche Schwachstelle in seinen Active Directory Certificate Services (AD CS), die es Angreifern ermöglicht, Zertifikate mit falschen Einstellungen zu missbrauchen. Die Schwachstelle CVE-2024-49019 betrifft insbesondere Zertifikatsvorlagen, die von Microsoft-Servern verwendet werden. TrustedSec hat in seinem Blog eine genaue Analyse der Schwachstelle vorgenommen.
Die entdeckte Schwachstelle betrifft speziell die sogenannten Version 1 Zertifikatsvorlagen. Diese Vorlagen werden in AD CS verwendet, um bestimmte Arten von Zertifikaten zu erstellen, z. B. für Webserver oder Benutzer. Normalerweise legt der Administrator fest, wofür ein Zertifikat verwendet werden darf, indem er sogenannte EKUs (Extended Key Usage) hinzufügt. EKUs spezifizieren, ob ein Zertifikat für Serverauthentifizierung, Clientauthentifizierung oder andere Zwecke verwendet werden kann.
In diesem Fall stellte sich jedoch heraus, dass Angreifer Zertifikate manipulieren können, um falsche Anwendungsrichtlinien hinzuzufügen. Das bedeutet, dass ein Angreifer mit den richtigen Berechtigungen ein Zertifikat erstellen kann, das eigentlich für den Serverzugriff vorgesehen war, aber plötzlich auch für Clientauthentifizierung oder andere Aufgaben missbraucht werden kann. Dies geschieht, indem die EKUs überschrieben werden und stattdessen Microsoft-spezifische „Application Policies“ angewendet werden, die von den Administratoren nicht immer richtig konfiguriert sind.
Angreifer, die Zugriff auf das Netzwerk haben, können diese Lücke ausnutzen, wenn sie Anmeldeberechtigungen für das Zertifikatssystem haben. Sie können dann eine Zertifikatsanforderung (CSR) erstellen, die falsche Einstellungen verwendet. Anstatt ein Zertifikat für Serverauthentifizierung zu erstellen, könnten sie beispielsweise ein Zertifikat für die Clientauthentifizierung anfordern, was bedeutet, dass sie sich möglicherweise als Administrator ausgeben und Zugriff auf sensible Systeme erlangen können.
Wenn Sie ein Administrator in einem Unternehmen sind, sollten Sie schnell handeln, um die Lücke zu schließen. Hier sind einige Schritte, die Sie unternehmen können:
- Führen Sie die neuesten Updates durch: Installieren Sie den Sicherheitspatch von Microsoft, um das Problem zu beheben.
- Überprüfen Sie Ihre Zertifikatsvorlagen: Stellen Sie sicher, dass nur vertrauenswürdige EKUs und Application Policies verwendet werden. Entfernen Sie unnötige oder unsichere Einstellungen.
- Berechtigungen prüfen: Überprüfen Sie, welche Benutzer und Administratoren Anmeldeberechtigungen für Zertifikate haben, um Missbrauch zu verhindern.
- Zwei-Faktor-Authentifizierung einführen: Verwenden Sie eine Zwei-Faktor-Authentifizierung (2FA) für kritische Systeme, um sicherzustellen, dass selbst wenn ein Zertifikat missbraucht wird, es nicht einfach zu einem Angriff kommt.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: