Een van de belangrijkste en beste adviezen om de beveiliging van IT-systemen te verbeteren is dat beheerders multifactor-athenticatie (MFA) gebruiken. In de meeste zakelijke omgevingen komt dat neer op het gebruik van smartcards. De meeste smartcard-gebruikers beseffen echter niet dat het hanteren van smartcards in een Active Directory-omgeving rechten-escalatie erg makkelijk maakt.

De hack die ik hier bespreek is niet nieuw (ik weet alleen niet wie er als eerste mee kwam; zelf leerde ik het 15 jaar geleden), maar omdat ik hem vrijdag (8 maart) behandelde tijdens RSA 2019 in mijn presentatie op het beveiligingscongres en hij nog steeds mensen verrast - met name beheerders van smartcard-omgevingen - leek het me wijselijk om deze bevindingen in dit artikel te behandelen, opdat we er allemaal van kunnen leren.

De basis van multifactor-authenticatie

Elke MFA-oplossing is gebonden aan een specifiek 'subject', wat een identificerend element is voor een specifieke identiteit. Dat kan een willekeurig label, een naam, e-mailadres, LDAP-adres, DNS-adres, IP-adres zijn, of alles zolang het maar een unieke namespace is (bijvoorbeeld Active Directory, DNS, LDAP-directory of authenticatiedatabase). Meerdere instances van een authenticatie-apparaat kunnen hetzelfde subject-label hebben, maar de subject-naam moet uniek zijn binnen de namespace. In de meeste gevallen is het authenticatie-apparaat (meestal met encryptie) gebonden aan het subject-label waar het bij hoort.

Bijvoorbeeld: wanneer een digitaal certificaat wordt gemaakt zijn veel van de toegevoegde velden cryptografisch beveiligd (oftewel verifieerbaar) tussen de private en publieke entiteit die het certificaat maken. Het wijzigen van de subject-naam zou meteen het certificaat ongeldig maken. Dat is logisch, want de gebruiker van het authenticerende apparaat zegt daarmee "dit ben ik". Met een wachtwoord, pincode of biometrisch attribuut bevestigen dat.

Het bezit van een opgegeven subject/identiteit authenticeert de gebruiker. De geauthenticeerde identiteit is dan doorgaans gekoppeld aan een specifiek voor het subject geldende toegangstoken of cookie. Dat token kan vervolgens worden gepresenteerd aan de controlerende componenten van het (besturings)systeem als de identiteit beveiligde informatie probeert aan te spreken. De cookie of het token is geassocieerd aan toegewezen machtigingen, rechten of andere authorisatie-attributen, bijvoorbeeld lidmaatschap van een groep.

Als een aanvaller de controle in handen krijgt over de cookie of token van een subject, wordt hij of zij doorgaans behandeld alsof ze de echte gebruiker/subject zijn. Het (besturingssysteem) kan verder niet zien of de entiteit die de teogangscookie of -token aanbiedt de legitieme gebruiker is. Het behandelt de cookie of het token als geldig en correct gebruikt door een eerder gevalideerde gebruiker.

Hoe een subjectkaping werkt

Het is belangrijk om te beseffen welke rol het subjectlabel speelt in het authenticatieproces om dit type hack te begrijpen. Die kan als volgt worden samengevat: als ik het subjectlabel dat aan jouw authenticatiemethode is gekoppeld kan kapen, kan ik wellicht je identiteit stelen, zelfs als je een anderszins sterk beveiligd en vertrouwd MFA-middel gebruikt.

Laat ik dit toelichten aan de hand van een voorbeeld met de Active Directory en AD-geïntegreerde smartcards. Tientallen miljoenen gebruikers en admins beveiligen hun inloggegevens met deze configuratie. In deze hackdemo heeft de aanvaller een geldige gebruiker met lage rechten, die ik HelpDesk heb genoemd. Het doelwit van de identiteitsaanval is een gebruiker met hoge rechten, die ik SuperAdmin heb gedoopt, die onderdeel is van elke groep in Active Directory met hogere rechten (enterprise admins, domeinadmins en schema admins).

Het enige hogere privilege dat HelpDesk meer heeft dan een gewone gebruiker is de optie om een Iser Principal Name (UPN) in de Active Directory aan te pakken. Meestal krijgen beheerders op lagere niveaus dit soort rechten. Een UPN is vaak identiek aan het e-mailadres van de gebruiker, hoewel dat geen eis is. De enige harde eis voor UPN is dat deze uniek is in dezelfde Active Directory-forest.

Voor we hem stap voor stap doorlopen is hier een samenvatting van deze aanval:

1. De HelpDesk-admin met weinig rechten verwisselt UPN's met SuperAdmin.

2. HelpDesk logt in met diens eigen smartcard en pincode.

3. HelpDesk-admin wordt SuperAdmin, inclusief beheer van alle groepleden.

4. HelpDesk voert malafide acties uit.

5. Het systeem ziet de malafide acties als SuperAdmin.

6. Als HelpDesk klaar is, logt hij of zij uit en wisselt de UPN's weer om. Geen haan die er naar kraait.

Stel jezelf de volgende vraag: hoeveel mensen in je Active Directory-omgeving hebben de macht om de UPN van een gebruiker te wijzigen? Zou je eventlogging een UPN-wijzigingen opmerken en ervoor waarschuwen? Ik vermoed dat het antwoord daarop in de meeste omgevingen 'nee' is.

Stap voor stap hackdemonstratie

Hier volgt een omschrijving van de presentatie op RSA vorige week:

1. Verifieer SuperAdmin's UPN (die wordt weergegeven in Active Directory als de inlognaam).

2. Verifieer dat SuperAdmin tot groepen met hogere rechten behoort.

3. Verifieer dat de UPN van SuperAdmin is gekoppeld aan de smartcard van SuperAdmin, inclusief het unieke digitale certificaat (de hexadecimale 'thumbprint') dat is gerelateerd aan de smartcard van SuperAdmin

4. Log in als SuperAdmin met diens smartcard en pincode.

5. Verifieer dat SuperAdmin succesvol is ingelogd met smartcard en pincode. Met whoami zie je hoe je bent ingelogd.

6. Verifieer dat SuperAdmin tot groepen met hoge rechten behoort met whoami /groups .

7. Gebruiker HelpDesk logt in met de eigen smartcard en pincode (voordat de hack is gebeurd zodat de huidige staat te zien is).

8. De smartcardinformatie van gebruiker HelpDesk heeft UPN helpdesk@victim.com en HelpDesks unieke digitale certifcaat.

De UPN en thumbprint van HelpDesk.

whoami laat zien dat HelpDesk is ingelogd bij domein victim.com.

whoami /groups laat de groepen met lagere rechten zien waar HelpDesk deel van uitmaakt.

9. De gebruiker met lage rechten, HelpDesk, verwisselt zijn of haar UPN met SuperAdmin via de Active Directory Users and Computers. Om dit te doen met gebruiker HelpDesk de UPN eerst vervangen met een andere waarde, want AD staat niet toe dat twee accounts dezelfde UPN op hetzelfde moment hebben.

10. HelpDesk wijzigt de UPN om helpdesk@victim.com weer te geven, maar dezelfde UPN te hebben als de eigen smartcard.

11. Gebruiker HelpDesk logt uit, wacht een paar minuten tot Active Directory de replicatie heeft uitgevoerd en logt daarna weer in.

HelpDesk logt in met gevalideerde smartcard en UPN.

Details van de smartcard van HelpDesk die wordt gebruikt om te verifiëren dat alleen de smartcard en pincode van HelpDesk worden gebruikt.

12. Hoewel de gebruiker is ingelogd met HelpDesk en de daaraan geassocieerde smartcard en pincode heeft Active Directory die nu geassocieerd met gebruiker SuperAdmin, die nu gekoppeld is aan helpdesk@victim.com.

Met whoami kun je zien dat Active Directory gebruiker HelpDesk nu ziet als Superadmin.

Met whoami /groups zie je dat HelpDesk nu lid is van groepen van SuperAdmin.

Op dit punt aangekomen kan gebruiker HelpDsk alles doen wat alleen SuperAdmin zou moeten doen en zowel Windows als Active Directory zien de handelingen alsof ze van SuperAdmin komen, niet van HelpDesk. Nadat ongautoriseerde acties worden uitgevoerd, zoals bevestigen dat ze rechten kunnen verhogen met zijn of haar credentials, kan een HelpDesk de UPN weer terugwisselen en tenzij UPN-updates worden gelogd en iemand ziet dat er iets onverkwikkelijks gebeurt, is het erg lastig om te zien wat er is gebeurd.

Sommige inlogevents worden geregistreerd bij de domeincontroller, zoals Event ID 4768, wat de thumbprint van de aangeboden smartcart bevat. Dat zou je kunnen gebruiken om te ontdekken dat de smartcard van gebruiker HelpDesk op de een of andere manier geassocieerd is geweest met het account van SuperAdmin, maar forensische onderzoekers zouden dit hackscenario moeten kennen en actief op zoek gaan om te bevestigen dat dit is gebeurd. Je ontdekt dit niet zo eenvoudig als je op zoek gaat zonder precies te weten wat je zoekt.

Je zou kunnen zeggen dat een aanval met een eerder gevalideerd account om een UPN aan te passen een behoorlijk hoge lat is om te beginnen en daar heb je gelijk in. Dit is een specifieke kaping die hackers gebruiken om lateraal door het netwerk te bewegen en is daarmee een representatief voorbeeld voor een mogelijke uitkomst. Er zijn soortgelijke aanvallen die minder hoge eisen hebben om ui te voeren.

Ik kan met deze aanval een andere gevalideerde en vertrouwde smartcardidentiteit aanmaken zelfs als deze identiteit niet voorkomt in de AD van het slachtoffer. Ik kan bijvoorbeeld een niet-bestaande entiteit met subject frog@victim.com toevoegen (die dus nog niet bestaat in de Active Directory), de UPN van SuperAdmin daaraan koppelen, inloggen met frog@victim.com en AD maalt er niet om dat deze identiteit nergens voorkomt, want de UPN is het account van SuperAdmin.

Lessen

Laat ik duidelijk wezen: dit is geen bug van Active Directory of Microsoft. Dit is een operatie van een smartcard zoals die is bedoeld. Als een subject van een smartcard kan worden overgenomen, bestaat de mogelijkheid voor dit soort ongein. Soortgelijke aanvallen worden waarschijnlijk uitgevoerd op andere MFA-oplossingen waar het subject van kan worden gekaapt.

De overkoepelende les is dat je ieder attribuut dat je gebruikt voor authenticatie moet behandelen alsof het een wachtwoord is. We hebben allerlei logging en beveiliging rondom het voorkomen van wachtwoordmisbruik of diefstal, maar dezelfde middelen passen we niet toe op andere authenticatie - en dat zou wel moeten.