SID-Spoofing-Sicherheitslücke

Dirk-jan Mollema kürzlich beschrieb, wie man Certifried-ähnliche Angriffe auf Intune erweitert. Während er AD CS und NDES im Artikel verwendete, sind die beschriebenen Probleme nicht spezifisch für diese und gelten im Allgemeinen für alle PKIs, die Intune für die SCEP-Registrierung verwenden, einschließlich SCEPman.

Es gibt jedoch einige zusätzliche Einschränkungen für andere PKIs. Am wichtigsten ist, da dies auf der allgemeinen Certifried-Schwachstelle, aufbaut, dass das CA-Zertifikat im NTAuth-Store der Domäne sein muss. Während AD CS standardmäßig im NTAuth-Store ist, ist SCEPman dies nicht, sodass SCEPman-Benutzer nur betroffen sein können, wenn sie das CA-Zertifikat explizit dem NTAuth-Store hinzugefügt haben. Wenn Sie dies nicht getan haben, sind Sie sicher. Einige Anwendungsfälle erfordern jedoch das Hinzufügen des CA-Zertifikats zum NTAuth-Store, am bemerkenswertesten Domänencontroller-Zertifikate und zertifikatsbasierte RDP-Authentifizierung. Wenn Ihr CA-Zertifikat im NTAuth-Store ist und Sie die Intune-Registrierung auf SCEPman aktivieren, ermöglicht dies normalerweise Ihren Intune-Administratoren, dies auszunutzen und Zertifikate zu registrieren, mit denen sie die Domäne übernehmen können, d. h. Ihre Intune-Administratoren sollten als Tier-0-Administratoren behandelt werden.

Aber Dirk-jan beschrieb ein weiteres, schwerwiegenderes Problem. Intune überprüft anscheinend nicht, ob eine vom Benutzer angegebene SID mit dem onPremisesSecurityIdentifier-Attribut des Benutzers oder Geräts übereinstimmt, wodurch die von Microsoft mit der Durchsetzung von Strong Mapping ergriffenen Gegenmaßnahmen aufgehoben werden. Ein Benutzer ohne erhöhte Rechte (nun ja, lokale Administratorrechte auf seinem Rechner können erforderlich sein oder auch nicht) kann ein Zertifikat mit der SID eines anderen Benutzers registrieren. Der Benutzer muss dennoch den UPN des anderen Benutzers in das Zertifikat bekommen, wofür uns derzeit kein existierender Exploit bekannt ist, aber es ist eine Sicherheitsbarriere weniger. Bei Gerätezertifikaten ist es noch schlimmer, und Dirk-jan skizzierte die spezifischen Anforderungen, mit denen ein normaler Benutzer ein Zertifikat registrieren kann, das ihm erlaubt, sich als Domain Controller-System zu authentifizieren und die Maschine zu übernehmen.

Wenn Sie das SCEPman-CA-Zertifikat im NTAuth-Store haben und den Angriff verhindern möchten, können Sie AppConfig:IntuneValidation:AllowRequestedSidExtension kopieren nach false. Dies wird SID-Erweiterungen, einschließlich gefälschter, herausfiltern. Dies ist auch der Standardwert für diese Einstellung in SCEPman 2.11.1460 oder neuer. Frühere Versionen von SCEPman entfernen außerdem SID-URIs aus der SAN-Erweiterung, die normalerweise legitim sind, wenn Sie diese Einstellung konfigurieren, und verhindern möglicherweise gültige Anwendungsfälle.