Срочно. Хакеры могут использовать Windows AD FS для кражи данных

>Хакеры могут использовать Windows AD FS для кражи данных. Фото: Pixabay

Как утверждают специалисты из FireEye, новая атака может дать хакерам ещё один способ захватить учётные записи Microsoft 365 через брешь в Active Directory Federated Services (AD FS). Атака перекликается с недавней атакой SolarWinds.

AD FS — это функция для серверов Windows, которая  обеспечивает федеративную идентификацию и управление доступом. Организации часто используют его для обеспечения функции единого входа для доступа к корпоративным приложениям, таким как Microsoft 365.

Хакеры могут обманывать один сервер AD FS, обменивающийся данными с другим AD FS, чтобы получить его ключи. Эта атака не отличается от атаки Golden SAML, разработанной CyberArk в 2017 году. В этом типе атаки хакеры могут получить доступ к любому приложению, поддерживающему аутентификацию SAML, с любыми привилегиями и быть любым пользователем целевого приложения.

В новой атаке хакеры могли использовать службу передачи хранилища политик для получения зашифрованного сертификата подписи токена по сети.

При использовании предыдущих методов хакерам необходимо было выполнить удалённый код на сервере AD FS для извлечения данных или хотя бы SMB-соединение для передачи файлов резервной базы данных. Для новой атаки требуется только доступ к серверу AD FS через стандартный порт HTTP. При установке AD FS по умолчанию будет создано правило брандмауэра Windows, разрешающее HTTP-трафик из любой системы.

«Кроме того, злоумышленнику не нужны учётные данные для учётной записи службы AD FS, и вместо этого он может использовать любую учетную запись локального администратора на сервере AD FS. Наконец, нет сообщения журнала событий, в который записывается, когда событие репликации происходит на сервере AD FS. В целом, это делает методику намного более простой в применении и намного более сложной для обнаружения », — сказал Дуг Бинсток, IR-менеджер FireEye.

По словам Бинстока, сама политика авторизации также создаёт возможность для злоупотреблений. Поскольку политика авторизации хранится в виде XML- текста в базе данных конфигурации, злоумышленник с достаточным доступом может изменить ее, сделав более разрешительной.

«Злоумышленник может изменить политику авторизации, включив в неё групповой SID, такой как пользователи домена, S-1-5-21-X-513. Точно так же они могут добавить ACE в контейнер ключей DKM в Active Directory. Это позволит злоумышленнику легко получить сертификат подписи токена и расшифровать его, используя любые учетные данные пользователя домена. Это даст им постоянную возможность выполнять атаку Golden SAML с доступом только к сети в качестве требования», — сказал Бинсток.

По словам Бинстока, хотя атака ещё не наблюдалась в реальных условиях, написать доказательство концепции было бы тривиально.

Исследователи заявили, что лучшим средством защиты от этого метода является использование брандмауэра Windows для ограничения доступа к порту 80 TCP только для серверов AD FS в ферме.

«Если в организации есть только один сервер AD FS, то TCP-порт 80 может быть полностью заблокирован. Этот блок можно установить, потому что весь трафик к серверам и прокси-серверам AD FS и от них для аутентификации пользователей проходит через порт 443 TCP », — сказал Бинсток.