Nel giugno 2023, IBM Security X-Force ha risposto a un incidente in cui un cliente aveva ricevuto allarmi dai suoi strumenti di sicurezza riguardanti potenziali attività malevole provenienti da un sistema all’interno della loro rete che mirava a un controller di dominio. L’analisi di X-Force ha rivelato che un attaccante ha ottenuto accesso alla rete del cliente attraverso una connessione VPN utilizzando un account di gestione IT di terze parti. L’account di gestione IT aveva disabilitato l’autenticazione a più fattori (MFA) per abilitare la provisione automatizzata delle postazioni di lavoro.
Dettagli dell’attacco
Con l’accesso alla rete interna, l’attaccante ha eseguito un’attività di ricognizione e ha identificato un server che eseguiva i servizi di certificato di Active Directory responsabili dell’iscrizione all’autorità di certificazione Web e del servizio di iscrizione al certificato Web. Una volta identificato il server AD CS, l’attaccante ha sfruttato la vulnerabilità CVE-2022–26923, che ha permesso all’attaccante di elevare i propri privilegi a amministratore di dominio. La vulnerabilità CVE-2022–26923 è stata corretta da Microsoft nell’aggiornamento KB5014754, tuttavia, a causa della configurazione del Key Distribution Center, l’exploit non è stato bloccato e semplicemente registrato come un avviso.
Conseguenze dell’attacco
Con i privilegi di amministratore di dominio, l’attaccante ha tentato di eseguire un attacco DCSync, che estrae le credenziali da un controller di dominio (DC) impersonando un controller di dominio e recuperando i dati della password tramite la replicazione del dominio. L’attacco DCSync è stato rilevato e bloccato dagli strumenti di sicurezza del cliente e poco dopo X-Force ha eseguito misure di contenimento per eliminare l’accesso dell’attaccante alla rete del cliente.
Raccomandazioni per la vulnerabilità CVE-2022–26923
X-Force raccomanda a tutte le organizzazioni di confermare che le modifiche in KB5014754 siano impostate in modalità di esecuzione dopo aver eseguito una valutazione dell’impatto del cambiamento e implementato le raccomandazioni alla fine di questo post. Le raccomandazioni includono l’implementazione di un programma di gestione delle vulnerabilità, il controllo di accesso granulare sui modelli di certificato, la disabilitazione dell’accesso HTTP per AD CS e una rigorosa gestione della sicurezza dell’AD CS.