WSUS: ADCS ESC8 атака через MITM

Эта ‎статья служит‏ ‎техническим ‎руководством ‎о ‎том, ‎как‏ ‎сочетание ‎сетевого‏ ‎перехвата,‏ ‎MITM-атак ‎и ‎использования‏ ‎ADC-систем ‎может‏ ‎привести ‎к ‎значительным ‎нарушениям‏ ‎безопасности,‏ ‎подчеркивая ‎необходимость‏ ‎принятия ‎надежных‏ ‎мер ‎безопасности ‎в ‎сетевых ‎конфигурациях‏ ‎и‏ ‎процессах ‎обработки‏ ‎сертификатов.

📌Конфигурация ‎и‏ ‎уязвимости ‎WSUS: В ‎статье ‎подробно ‎описывается,‏ ‎как‏ ‎можно‏ ‎использовать ‎сервер‏ ‎служб ‎обновления‏ ‎Windows ‎Server‏ ‎(WSUS),‏ ‎настроенный ‎для‏ ‎работы ‎по ‎протоколу ‎HTTP. ‎Доступ‏ ‎к ‎конфигурации‏ ‎протокола‏ ‎WSUS-сервера ‎можно ‎получить,‏ ‎запросив ‎определенный‏ ‎раздел ‎реестра. ‎Эта ‎настройка‏ ‎позволяет‏ ‎потенциально ‎перехватывать‏ ‎трафик ‎с‏ ‎помощью ‎таких ‎инструментов, ‎как ‎Wireshark,‏ ‎которые‏ ‎могут ‎перехватывать‏ ‎связь ‎между‏ ‎клиентами ‎и ‎сервером ‎WSUS.

📌Выполнение ‎MITM-атаки: В‏ ‎основе‏ ‎атаки‏ ‎лежит ‎подход‏ ‎«Человек ‎посередине»‏ ‎(MITM), ‎при‏ ‎котором‏ ‎злоумышленник ‎перехватывает‏ ‎и ‎ретранслирует ‎запросы ‎с ‎клиентского‏ ‎компьютера ‎на‏ ‎сервер‏ ‎WSUS. ‎Во ‎время‏ ‎этого ‎процесса‏ ‎злоумышленник ‎может ‎манипулировать ‎сообщениями,‏ ‎перенаправляя‏ ‎запросы ‎на‏ ‎сторонний ‎сервер‏ ‎или ‎манипулируя ‎ответами.

📌Эксплойт ‎ADCS ‎ESC8:‏ ‎Перехваченное‏ ‎сообщение ‎затем‏ ‎используется ‎для‏ ‎проведения ‎атаки ‎на ‎службы ‎сертификации‏ ‎Active‏ ‎Directory‏ ‎(ADCS) ‎ESC8.‏ ‎Это ‎включает‏ ‎в ‎себя‏ ‎передачу‏ ‎перехваченных ‎запросов‏ ‎на ‎веб-страницу ‎регистрации ‎Центра ‎сертификации‏ ‎для ‎запроса‏ ‎сертификата‏ ‎с ‎использованием ‎учетных‏ ‎данных ‎скомпрометированного‏ ‎компьютера. ‎Успешное ‎выполнение ‎этой‏ ‎атаки‏ ‎может ‎позволить‏ ‎злоумышленнику ‎получить‏ ‎несанкционированные ‎сертификаты, ‎которые ‎могут ‎быть‏ ‎использованы‏ ‎для ‎дальнейших‏ ‎атак ‎в‏ ‎сети.

📌Набор ‎инструментов: PKINITtools ‎и ‎скрипты ‎для‏ ‎управления‏ ‎запросами‏ ‎Kerberos ‎и‏ ‎их ‎экспорта‏ ‎помогают ‎извлекать‏ ‎и‏ ‎использовать ‎учетные‏ ‎данные ‎из ‎перехваченного ‎трафика ‎для‏ ‎проверки ‎подлинности‏ ‎с‏ ‎помощью ‎ADC ‎и‏ ‎запроса ‎сертификатов.

📌Рекомендации‏ ‎по ‎обеспечению ‎безопасности: ‎Атака‏ ‎демонстрирует‏ ‎значительный ‎риск‏ ‎для ‎безопасности,‏ ‎связанный ‎с ‎использованием ‎незащищенных ‎протоколов‏ ‎(HTTP)‏ ‎для ‎критически‏ ‎важной ‎инфраструктуры,‏ ‎такой ‎как ‎WSUS ‎и ‎ADCS.‏ ‎В‏ ‎статье‏ ‎предполагается, ‎что‏ ‎защита ‎этих‏ ‎коммуникаций ‎с‏ ‎помощью‏ ‎HTTPS ‎и‏ ‎внедрение ‎строгого ‎контроля ‎доступа ‎и‏ ‎мониторинга ‎могут‏ ‎снизить‏ ‎вероятность ‎таких ‎атак.

Свернуть

#новости #ADCS #ESC8 #MITM #WSUS

Overkill Security

Abusing WSUS with MITM to perform ADCS ESC8 attack

This ‎article serves‏ ‎as ‎a ‎technical ‎guide ‎on‏ ‎how ‎a‏ ‎combination‏ ‎of ‎network ‎sniffing,‏ ‎MITM ‎attacks,‏ ‎and ‎exploitation ‎of ‎ADCS‏ ‎can‏ ‎lead ‎to‏ ‎significant ‎security‏ ‎breaches, ‎emphasizing ‎the ‎need ‎for‏ ‎robust‏ ‎security ‎measures‏ ‎in ‎network‏ ‎configurations ‎and ‎certificate ‎handling ‎processes.

📌WSUS‏ ‎Configuration‏ ‎and‏ ‎Vulnerability: ‎The‏ ‎article ‎details‏ ‎how ‎a‏ ‎Windows‏ ‎Server ‎Update‏ ‎Services ‎(WSUS) ‎server, ‎configured ‎to‏ ‎work ‎over‏ ‎HTTP,‏ ‎can ‎be ‎exploited.‏ ‎The ‎WSUS‏ ‎server’s ‎protocol ‎configuration ‎is‏ ‎accessible‏ ‎by ‎querying‏ ‎a ‎specific‏ ‎registry ‎key. ‎This ‎setup ‎allows‏ ‎for‏ ‎the ‎potential‏ ‎sniffing ‎of‏ ‎traffic ‎using ‎tools ‎like ‎Wireshark,‏ ‎which‏ ‎can‏ ‎capture ‎the‏ ‎communication ‎between‏ ‎clients ‎and‏ ‎the‏ ‎WSUS ‎server.

📌MITM‏ ‎Attack ‎Execution: ‎The ‎core ‎of‏ ‎the ‎attack‏ ‎involves‏ ‎a ‎Man-in-the-Middle ‎(MITM)‏ ‎approach ‎where‏ ‎an ‎attacker ‎intercepts ‎and‏ ‎relays‏ ‎requests ‎from‏ ‎a ‎client‏ ‎machine ‎to ‎the ‎WSUS ‎server.‏ ‎During‏ ‎this ‎process,‏ ‎the ‎attacker‏ ‎can ‎manipulate ‎the ‎communication ‎to‏ ‎redirect‏ ‎requests‏ ‎to ‎a‏ ‎rogue ‎server‏ ‎or ‎manipulate‏ ‎the‏ ‎responses.

📌ADCS ‎ESC8‏ ‎Exploit: ‎The ‎intercepted ‎communication ‎is‏ ‎then ‎used‏ ‎to‏ ‎facilitate ‎an ‎Active‏ ‎Directory ‎Certificate‏ ‎Services ‎(ADCS) ‎ESC8 ‎attack.‏ ‎This‏ ‎involves ‎relaying‏ ‎the ‎intercepted‏ ‎requests ‎to ‎a ‎Certificate ‎Authority‏ ‎web‏ ‎enrollment ‎page‏ ‎to ‎request‏ ‎a ‎certificate ‎using ‎a ‎compromised‏ ‎computer’s‏ ‎credentials.‏ ‎Successfully ‎executing‏ ‎this ‎attack‏ ‎can ‎allow‏ ‎the‏ ‎attacker ‎to‏ ‎obtain ‎unauthorized ‎certificates ‎that ‎can‏ ‎be ‎used‏ ‎for‏ ‎further ‎attacks ‎within‏ ‎the ‎network.

📌Toolset: PKINITtools‏ ‎and ‎scripts ‎for ‎manipulating‏ ‎Kerberos‏ ‎tickets ‎and‏ ‎exporting ‎them‏ ‎for ‎use ‎in ‎the ‎attack‏ ‎help‏ ‎in ‎extracting‏ ‎and ‎utilizing‏ ‎the ‎credentials ‎from ‎the ‎intercepted‏ ‎traffic‏ ‎to‏ ‎authenticate ‎against‏ ‎the ‎ADCS‏ ‎and ‎request‏ ‎certificates.

📌Security‏ ‎Implications ‎and‏ ‎Recommendations: The ‎attack ‎demonstrates ‎a ‎significant‏ ‎security ‎risk‏ ‎in‏ ‎using ‎unsecured ‎protocols‏ ‎(HTTP) ‎for‏ ‎critical ‎infrastructure ‎like ‎WSUS‏ ‎and‏ ‎ADCS. ‎The‏ ‎article ‎suggests‏ ‎that ‎securing ‎these ‎communications ‎using‏ ‎HTTPS‏ ‎and ‎implementing‏ ‎strict ‎access‏ ‎controls ‎and ‎monitoring ‎could ‎mitigate‏ ‎such‏ ‎attacks.

Свернуть

#news #Attack #ADCS #ESC8 #MITM #WSUS

Единоразовый платёж

Контакты

Поделиться

WSUS: ADCS ESC8 атака через MITM

Abusing WSUS with MITM to perform ADCS ESC8 attack

Здесь будут примеры публикаций.

Постов для отображения нет

Обновления проекта

Контакты

Поделиться

Фильтры

Подарить подписку

Единоразовый платёж

Контакты

Поделиться

WSUS: ADCS ESC8 атака через MITM

Abusing WSUS with MITM to perform ADCS ESC8 attack

Здесь будут примеры публикаций.

Постов для отображения нет

Обновления проекта

Контакты

Поделиться

Метки

Фильтры

Подарить подписку