circle-info
Este artigo foi traduzido automaticamente. A tradução pode conter imprecisões.
Alternar para a versão original em inglês.chevron-right
search

Vulnerabilidade de Falsificação de SID

Dirk-jan Mollema recentemente descreveu como estender ataques semelhantes ao Certifried para o Intunearrow-up-right. Embora ele tenha usado AD CS e NDES no artigo, os problemas descritos não são específicos deles e geralmente se aplicam a todas as PKIs que usam o Intune para inscrição SCEP, incluindo o SCEPman.

No entanto, existem algumas restrições adicionais para outras PKIs. Mais importante, como isso se baseia na vulnerabilidade Certifried, requer que o certificado da CA esteja na loja NTAuth do domínio. Embora o AD CS esteja por padrão na loja NTAuth, o SCEPman não está, então usuários do SCEPman podem ser afetados apenas se tiverem explicitamente adicionado o certificado da CA à loja NTAuth. Se você não o fez, está seguro. Alguns casos de uso exigem adicionar o certificado da CA à loja NTAuth, entretanto, mais notavelmente certificados de Controlador de Domínio e autenticação RDP baseada em certificado. Se o certificado da sua CA estiver na loja NTAuth e você habilitar a inscrição do Intune no SCEPman, isso normalmente permitirá que seus Administradores do Intune explorem isso e inscrevam certificados com os quais podem assumir o controle do domínio, ou seja, seus Administradores do Intune devem ser tratados como Administradores Tier-0.

Mas Dirk-jan descreveu outro problema, mais grave. O Intune aparentemente não verifica se um SID fornecido pelo usuário corresponde ao atributo onPremisesSecurityIdentifier do usuário ou dispositivo, anulando as mitigações que a Microsoft implementou com a aplicação do Strong Mapping. Um usuário sem privilégios elevados (bem, direitos de administrador local na sua máquina podem ou não ser necessários) pode inscrever um certificado com o SID de outro usuário. O usuário ainda precisa colocar o UPN do outro usuário no certificado, para o qual atualmente não conhecemos um exploit existente, mas é um obstáculo de segurança a menos. Para certificados de dispositivo, é ainda pior e Dirk-jan descreveu os requisitos específicos com os quais um usuário normal pode inscrever um certificado que lhe permite autenticar como sistema de Controlador de Domínio e assumir a máquina.

Se você tiver o certificado da CA do SCEPman na loja NTAuth e quiser prevenir o ataque, você pode definir AppConfig:IntuneValidation:AllowRequestedSidExtension para false. Isso filtrará extensões SID, incluindo as falsificadas. Este também é o valor padrão para essa configuração no SCEPman 2.11.1460 ou mais recente. Versões anteriores do SCEPman também removem URIs SID da extensão SAN que geralmente são legítimas se você configurar essa opção, potencialmente impedindo casos de uso válidos.

Last updated

Was this helpful?