Skip to main content

    Det er nylig avdekket en sårbarhet i Microsoft AD, som gjør det mulig for en AD bruker å bli SYSTEM (lokal administrator rettigheter). Denne sårbarheten er relativ enkel å utnytte. Sårbarheten løses ved å kreve LDAP signering på DC/domenekontrollere.

    Sårbarheten er en så kaldt "no-fix", som betyr at det ikke kommer en patch for denne fra Microsoft. Dette krever med andre ord en konfigurasjons endring før man kan lukke sårbarheten.

    Sårbarheten har fått kallenavnet/omtales som: KrbRelayUp, og har per 4.mai 2022 ikke fått tildelt et eget CVE nummer.

    Kode for utnyttelse av sårbarheten er tilgjengelig offentlig: https://github.com/Dec0ne/KrbRelayUp

    Det er mulig å utnytte denne sårbarheten om maskinene er med i Active Directory (AD) og LDAP signering / LDAP Channel binding ikke er påkrevd av domenekontrolleren. (Standard/Default instilling).

    Utnyttelse:

    Det eksisterer en HOWTO [1] som beskriver detaljert fremgangsmetode for å utnytte sårbarheten manuelt, KrbRelayUp gjøre alt dette på egenhånd/automatisk.

    For å kunne utnytte denne sårbarheten, kreves det tilgang til en maskinkonto i AD, eller at man har muligheten for å legge til en ekstra maskin til AD. (Dette kan normalt gjøres med en ordinær AD bruker/konto). Instillingen "ms-DS-MachineAccountQuota = x" styrer om dette er mulig eller ikke, og er normalt satt til "10", Ved å sette veriden til "0", blokkerer man muligheten for å legge til nye maskiner til AD.

    Merk: En konsekvens med å sette "ms-DS-MachineAccountQuota = 0" er at det da trengs eksplisitte tilganger for å legge til nye maskiner til AD.

    Videre benyttes "msDS-AllowedToActOnBehalfOfOtherIdentity" i kombinasjon med manglende LDAP signering for å kunne heve rettighetene opp til SYSTEM.

    Mer informasjon om utnyttelse og metode kan leses på Twitter konto til Will Doormann [2]

    [1] : https://gist.github.com/tothi/bf6c59d6de5d0c9710f23dae5750c4b9 
    [2] : https://twitter.com/wdormann/status/1518956901391872005

    Mitigering:

    Anbefalt er å sette "Domain Controller: LDAP server signing requirements" til "Require signing". Dette forhindrer muligheten for å oppheve rettigheter til SYSTEM.

     

     

    Oslo

    Drammensveien 288

    0283 Oslo

    Bergen

    Sandviksbodene 1

    5035 Bergen

    Stavanger

    Kanalsletta 4

    4033 Stavanger

    Grimstad

    Bark Silas vei 5

    4876 Grimstad

    Kristiansand

    Dronningens gt 12

    4610 Kristiansand

    Trondheim

    Krambugata 2

    7011 Trondheim

    Stockholm

    Kammakargatan 22

    111 40 Stockholm