CVE-2024-49019: Angreifer können Active Directory Zertifikatvorlagen missbrauchen

Am 12. November 2024 veröffentlichte Microsoft einen Sicherheitspatch für eine gefährliche Schwachstelle in seinen Active Directory Certificate Services (AD CS), die es Angreifern ermöglicht, Zertifikate mit falschen Einstellungen zu missbrauchen. Die Schwachstelle CVE-2024-49019 betrifft insbesondere Zertifikatsvorlagen, die von Microsoft-Servern verwendet werden. TrustedSec hat in seinem Blog eine genaue Analyse der Schwachstelle vorgenommen.

Die entdeckte Schwachstelle betrifft speziell die sogenannten Version 1 Zertifikatsvorlagen. Diese Vorlagen werden in AD CS verwendet, um bestimmte Arten von Zertifikaten zu erstellen, z. B. für Webserver oder Benutzer. Normalerweise legt der Administrator fest, wofür ein Zertifikat verwendet werden darf, indem er sogenannte EKUs (Extended Key Usage) hinzufügt. EKUs spezifizieren, ob ein Zertifikat für Serverauthentifizierung, Clientauthentifizierung oder andere Zwecke verwendet werden kann.

In diesem Fall stellte sich jedoch heraus, dass Angreifer Zertifikate manipulieren können, um falsche Anwendungsrichtlinien hinzuzufügen. Das bedeutet, dass ein Angreifer mit den richtigen Berechtigungen ein Zertifikat erstellen kann, das eigentlich für den Serverzugriff vorgesehen war, aber plötzlich auch für Clientauthentifizierung oder andere Aufgaben missbraucht werden kann. Dies geschieht, indem die EKUs überschrieben werden und stattdessen Microsoft-spezifische “Application Policies” angewendet werden, die von den Administratoren nicht immer richtig konfiguriert sind.

Angreifer, die Zugriff auf das Netzwerk haben, können diese Lücke ausnutzen, wenn sie Anmeldeberechtigungen für das Zertifikatssystem haben. Sie können dann eine Zertifikatsanforderung (CSR) erstellen, die falsche Einstellungen verwendet. Anstatt ein Zertifikat für Serverauthentifizierung zu erstellen, könnten sie beispielsweise ein Zertifikat für die Clientauthentifizierung anfordern, was bedeutet, dass sie sich möglicherweise als Administrator ausgeben und Zugriff auf sensible Systeme erlangen können.

Wenn Sie ein Administrator in einem Unternehmen sind, sollten Sie schnell handeln, um die Lücke zu schließen. Hier sind einige Schritte, die Sie unternehmen können:

  1. Führen Sie die neuesten Updates durch: Installieren Sie den Sicherheitspatch von Microsoft, um das Problem zu beheben.
  2. Überprüfen Sie Ihre Zertifikatsvorlagen: Stellen Sie sicher, dass nur vertrauenswürdige EKUs und Application Policies verwendet werden. Entfernen Sie unnötige oder unsichere Einstellungen.
  3. Berechtigungen prüfen: Überprüfen Sie, welche Benutzer und Administratoren Anmeldeberechtigungen für Zertifikate haben, um Missbrauch zu verhindern.
  4. Zwei-Faktor-Authentifizierung einführen: Verwenden Sie eine Zwei-Faktor-Authentifizierung (2FA) für kritische Systeme, um sicherzustellen, dass selbst wenn ein Zertifikat missbraucht wird, es nicht einfach zu einem Angriff kommt.

Related Posts

Cert-Bund warnt: Schwachstelle in Zyxel Firewalls aktiv ausgenutzt

Am 22. November 2024 veröffentlichte das BSI eine wichtige Sicherheitswarnung (CSW-Nr. 2024-290907-1032, Version 1.0) im Zusammenhang mit einer Ransomware-Kampagne, die die Zyxel Firewalls USG Flex und ATP missbraucht, um die Helldown Ransomware zu verbreiten. Die Schwachstelle wurde von Angreifern genutzt, um Unternehmensnetzwerke zu kompromittieren, Daten zu verschlüsseln und mit der Veröffentlichung von entwendeten Informationen zu drohen, was die Bedrohung noch gefährlicher macht. Diese Schwachstelle wurde in der Firmware-Version 5.39 der Zyxel Firewalls bestätigt, die am 3. September 2024 veröffentlicht wurde. Trotz eines Sicherheitspatches, der am 21. November 2024 von Zyxel bereitgestellt wurde, berichteten einige Institutionen, dass sie auch nach der Installation des Patches weiterhin von Helldown-Infektionen betroffen waren. Dies deutet darauf hin, dass die alleinige Aktualisierung der Firmware nicht ausreichte, um die Kompromittierungen nachhaltig zu verhindern.

Read More

PHP: CVE-2024-8929 – Heap-Datenleck durch Buffer Over-Read in Mysqlnd

Am 26. November 2024 wurde die Schwachstelle CVE-2024-8929 veröffentlicht, die sich auf das mysqlnd (MySQL Native Driver) in PHP bezieht. Die Schwachstelle ermöglicht es Angreifern, Speicherinhalte (Heap-Daten) durch eine fehlerhafte Verarbeitung von MySQL-Paketen zu lesen. Die Sicherheitslücke wird als hoch (Severity: High) eingestuft. Die Versionen < 8.1.31, < 8.2.26 und <8.3.14 sind betroffen.

Read More

Kritische SQL-Injection-Schwachstelle in Zabbix API entdeckt (CVE-2024-42327)

Ein kritischer SQL-Injection-Fehler (CVE-2024-42327) wurde in der user.get-API von Zabbix identifiziert. Die Schwachstelle betrifft Nicht-Admin-Benutzer mit der Standardrolle „User“ oder jeder anderen Rolle, die API-Zugriff ermöglicht.

Read More