最新靶场场景！Active Directory 域权限提升漏洞(CVE-2022-26963)

近日，Active Directory 域服务组件被爆出存在特权提升漏洞，蛇矛实验室率先构建出了完整的靶场复现和利用环境，目标环境是基于”火天网演攻防演训靶场”进行搭建，通过火天网演中的环境构建模块，可以灵活的对目标网络进行设计和配置，并且可以快速进行场景搭建和复现工作。

漏洞描述

Active Directory 域权限提升漏洞(CVE-2022-26963 )允许低权限用户在安装了 Active Directory 证书服务 (AD CS) 服务器角色的默认 Active Directory 环境中将权限提升到域管理员。

影响范围

受影响的 Windows 版本：

Windows 8.1

Windows 10 Version 1607, 1809,1909, 2004, 20H2, 21H1, 21H2

Windows 11

Windows Server 2008，2012，2016，2019，2022

Windows Active Directory (AD)

AD是微软所提供的目录服务（查询，身份验证），活动目录的核心包含了活动目录数据库，在活动目录数据库中包含了域中所有的对象（用户，计算机，组…），活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server 以及Windows Datacenter Server的目录服务

AD不仅用于身份和访问管理，还提供大量服务来帮助您运行和管理您的组织。其中许多服务鲜为人知或使用较少，这意味着在执行安全强化时它们经常被忽视。其中一项服务是 Active Directory 证书服务 (AD CS)。

Active Directory 证书服务

 AD CS 是 Microsoft 的公钥基础结构 ( PKI ) 实施。由于 AD 在组织中提供了一定程度的信任，因此它可以用作 CA 来证明和委托信任。

AD CS 用于多种用途，例如加密文件系统、创建和验证数字签名，甚至是用户身份验证，这也给攻击者提供了良好的攻击途径；因证书可以在凭证轮换中幸存下来，这意味着即使重置了受损帐户的密码，也不会使恶意生成的证书无效，从而提供长达 10 年的持续凭证盗窃！下图显示了证书请求和生成的流程

靶场网络构建

节点环境搭建

AD: windows server 2016

(选择Active Directory 域服务，其他默认即可。)

安装完成之后，提升为域控制器，开始配置域控。

添加新林rangenet.cn，其他默认，然后一步步到安装。

AD CS

下面正式开始安装ADCS服务，只需要注意下面截图的内容，其他都是默认。

服务器管理器–>添加角色和功能向导–>勾选服务器角色–>Active Director 证书服务

开始安装

配置ADCS服务，只需要注意下面截图的内容，其他都是默认。

新建低权限AD用户

创建低权限AD用户Zhangfei：ZFpassword@123

靶场威胁复现

配置 DNS

修改kali的/etc/hosts文件并添加以下条目：

域内定位CA机器

在域内机器上执行。

certutil -config - -ping

测试证书生成

首先使用用户证书模板为我们的低权限AD用户 (Username=zhangfeiPassword=ZFpassword@123) 生成证书：

certipy req 'rangenet.cn/zhangfei:ZFpassword@123@dc.rangenet.cn' -ca RANGENET-DC-CA -template User

验证此证书是否有效

certipy auth -pfx zhangfei.pfx

创建机器账户到域

使用bloodyAD工具来创建机器账户。

查看ms-DS-MachineAccountQuota属性

如果ms-DS-MachineAccountQuota>0就可以创建机器帐户

在LDAP中创建一个机器帐户

更新机器帐户的DNS Host Name

将机器帐户的DNS Host Name改为域控的DC.rangenet.cn

查看属性，是否成功更改了DNS Host Name

伪造恶意证书

运行Certipy生成机器证书，可以看到DNS Host Name已经变成了dc.rangenet.cn：

certipy req 'rangenet.cn/zhangfeiPC$:ZFpassword@123@dc.rangenet.cn'-ca RANGENET-DC-CA -template Machine

再次验证证书是否有效，成功获取到哈希：

转储所有用户哈希

这里使用impacket的secretsdump.py来dump哈希

防御方案

1.补丁地址:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26923

2.新证书中引入了新的对象 ID (OID)，以进一步对用户进行指纹识别。这是通过在新的szOID_NTDS_CA_SECURITY_EXT OID 中嵌入用户的 objectSid 来完成的。

3.”验证写入DNS主机名”权限现在只允许您将 DNSHostname 设置为与 SAM 帐户名或计算机帐户匹配的属性，这意味着它不能用于欺骗其他主机的帐户名。

4.确保您的证书模板受到限制。仅在需要时才允许机器和用户自动注册。否则，通过安全配置，可以减少这些模板的权限。

5.如果没有允许用户将主机注册到 AD 的商业案例，请将所有不应注册新主机的帐户的 MS-DS-Machine-Account-Quota 属性更改为 0。然而，这并不能解决问题，因为攻击者只需获得对单个加入域的主机的管理访问权限，就可以执行证书请求。