Sikkerhetsvarsler

KrbRelayUp - AD bruker kan oppnevnes til SYSTEM rettigheter.

Skrevet av Netsecurity | 4. mai 2022 06:42:17 Z

Det er nylig avdekket en sårbarhet i Microsoft AD, som gjør det mulig for en AD bruker å bli SYSTEM (lokal administrator rettigheter). Denne sårbarheten er relativ enkel å utnytte. Sårbarheten løses ved å kreve LDAP signering på DC/domenekontrollere.

Sårbarheten er en så kaldt "no-fix", som betyr at det ikke kommer en patch for denne fra Microsoft. Dette krever med andre ord en konfigurasjons endring før man kan lukke sårbarheten.

Sårbarheten har fått kallenavnet/omtales som: KrbRelayUp, og har per 4.mai 2022 ikke fått tildelt et eget CVE nummer.

Kode for utnyttelse av sårbarheten er tilgjengelig offentlig: https://github.com/Dec0ne/KrbRelayUp

Det er mulig å utnytte denne sårbarheten om maskinene er med i Active Directory (AD) og LDAP signering / LDAP Channel binding ikke er påkrevd av domenekontrolleren. (Standard/Default instilling).

Utnyttelse:

Det eksisterer en HOWTO [1] som beskriver detaljert fremgangsmetode for å utnytte sårbarheten manuelt, KrbRelayUp gjøre alt dette på egenhånd/automatisk.

For å kunne utnytte denne sårbarheten, kreves det tilgang til en maskinkonto i AD, eller at man har muligheten for å legge til en ekstra maskin til AD. (Dette kan normalt gjøres med en ordinær AD bruker/konto). Instillingen "ms-DS-MachineAccountQuota = x" styrer om dette er mulig eller ikke, og er normalt satt til "10", Ved å sette veriden til "0", blokkerer man muligheten for å legge til nye maskiner til AD.

Merk: En konsekvens med å sette "ms-DS-MachineAccountQuota = 0" er at det da trengs eksplisitte tilganger for å legge til nye maskiner til AD.

Videre benyttes "msDS-AllowedToActOnBehalfOfOtherIdentity" i kombinasjon med manglende LDAP signering for å kunne heve rettighetene opp til SYSTEM.

Mer informasjon om utnyttelse og metode kan leses på Twitter konto til Will Doormann [2]

[1] : https://gist.github.com/tothi/bf6c59d6de5d0c9710f23dae5750c4b9 
[2] : https://twitter.com/wdormann/status/1518956901391872005

Mitigering:

Anbefalt er å sette "Domain Controller: LDAP server signing requirements" til "Require signing". Dette forhindrer muligheten for å oppheve rettigheter til SYSTEM.