Vulnérabilité de falsification SID

Dirk-jan Mollema a récemment décrit comment étendre les attaques de type Certifried à Intune. Bien qu'il ait utilisé AD CS et NDES dans l'article, les problèmes décrits ne leur sont pas spécifiques et s'appliquent généralement à toutes les PKI utilisant Intune pour l'enrôlement SCEP, y compris SCEPman.

Cependant, il existe quelques contraintes supplémentaires pour d'autres PKI. Plus important encore, comme cela s'appuie sur la vulnérabilité Certifried, cela nécessite que le certificat de l'AC soit présent dans le magasin NTAuth du domaine. Alors qu'AD CS est par défaut dans le magasin NTAuth, SCEPman ne l'est pas, donc les utilisateurs de SCEPman peuvent n'être affectés que s'ils ont explicitement ajouté le certificat de l'AC au magasin NTAuth. Si vous ne l'avez pas fait, vous êtes en sécurité. Certains cas d'utilisation nécessitent toutefois d'ajouter le certificat de l'AC au magasin NTAuth, en particulier les certificats de contrôleur de domaine et l'authentification RDP basée sur un certificat. Si le certificat de votre AC est dans le magasin NTAuth et que vous activez l'enrôlement Intune sur SCEPman, cela permettra généralement à vos administrateurs Intune d'exploiter cela et d'enregistrer des certificats avec lesquels ils peuvent prendre le contrôle du domaine, c.-à-d. que vos administrateurs Intune doivent être traités comme des administrateurs de niveau 0.

Mais Dirk-jan a décrit un autre problème, plus grave. Intune ne semble apparemment pas vérifier si un SID fourni par l'utilisateur correspond au attribut onPremisesSecurityIdentifier de l'utilisateur ou du périphérique, annulant les atténuations mises en place par Microsoft avec l'application du Strong Mapping. Un utilisateur sans droits élevés (bon, les droits d'administrateur local sur sa machine peuvent ou non être nécessaires) peut enregistrer un certificat avec le SID d'un autre utilisateur. L'utilisateur doit quand même faire figurer le UPN de l'autre utilisateur dans le certificat, pour lequel nous ne connaissons actuellement aucun exploit existant, mais c'est un obstacle de sécurité en moins. Pour les certificats de périphérique, c'est encore pire et Dirk-jan a exposé les exigences spécifiques permettant à un utilisateur normal d'enregistrer un certificat qui lui permet de s'authentifier en tant que système de contrôleur de domaine et de prendre le contrôle de la machine.

Si vous avez le certificat AC de SCEPman dans le magasin NTAuth et que vous souhaitez prévenir l'attaque, vous pouvez définir AppConfig:IntuneValidation:AllowRequestedSidExtension vers false. Cela filtrera les extensions SID, y compris celles usurpées. Il s'agit également de la valeur par défaut de ce paramètre dans SCEPman 2.11.1460 ou versions ultérieures. Les versions précédentes de SCEPman suppriment également les URI SID de l'extension SAN qui sont généralement légitimes si vous configurez ce paramètre, empêchant potentiellement des cas d'utilisation valides.