Опасность в корпоративных сетях. Эксперты предупреждают о новой уязвимости в центре сертификации
29 мая 2025
Эксперты УЦСБ предупреждают о новом способе взлома корпоративных сетей с помощью центра сертификации Active Directory (AD CS).
Для использования уязвимости, классифицированной как AD CS ESC16, злоумышленникам достаточно скомпрометировать всего одну непривилегированную учетную запись с определенными правами и выполнить от ее имени несколько команд. В результате такой атаки злоумышленники могут получить привилегированный доступ ко всей инфраструктуре, включенной в домен Active Directory.
Чтобы защитить корпоративную сеть, необходимо убедиться, что в настройках центра сертификации Active Directory включено расширение SID Security Extension. Оно позволяет идентифицировать пользователя по его уникальному номеру, а не по другим атрибутам, значения которых могут изменить преступники. Расширение стало доступно после выхода в мае 2022 обновления KB5014754, поэтому важно установить его или последующие кумулятивные обновления.
Эксперты УЦСБ предупреждают о новом способе взлома корпоративных сетей с помощью центра сертификации Active Directory (AD CS).
Для использования уязвимости, классифицированной как AD CS ESC16, злоумышленникам достаточно скомпрометировать всего одну непривилегированную учетную запись с определенными правами и выполнить от ее имени несколько команд. В результате такой атаки злоумышленники могут получить привилегированный доступ ко всей инфраструктуре, включенной в домен Active Directory.
Чтобы защитить корпоративную сеть, необходимо убедиться, что в настройках центра сертификации Active Directory включено расширение SID Security Extension. Оно позволяет идентифицировать пользователя по его уникальному номеру, а не по другим атрибутам, значения которых могут изменить преступники. Расширение стало доступно после выхода в мае 2022 обновления KB5014754, поэтому важно установить его или последующие кумулятивные обновления.
“
«Центр сертификации — один из самых часто встречающихся векторов компрометации доменов Active Directory. Это уже шестнадцатая описанная техника повышения привилегий, использующая этот компонент, и будут появляться новые. В связи с этим необходимо регулярно проверять настройки AD CS и устранять недостатки конфигурации»
Подпишитесь на нашу рассылку
Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы
Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных