본문 바로가기
개념정리

AD (Active Directory) - CVE-2021-42287 / CVE-2022-26923

by 이우정 2023. 3. 17.
728x90

액티브 디렉토리(Active Directory, AD)란?

https://www.igloo.co.kr/security-information/%EC%B7%A8%EC%95%BD%EC%A0%90%EC%9D%84-%ED%86%B5%ED%95%B4-%EC%82%B4%ED%8E%B4%EB%B3%B4%EB%8A%94-%EC%95%A1%ED%8B%B0%EB%B8%8C-%EB%94%94%EB%A0%89%ED%86%A0%EB%A6%AC-%EB%B3%B4%EC%95%88-%EA%B0%95%ED%99%94/

 

취약점을 통해 살펴보는 액티브 디렉토리 보안 강화 방안

01. Active Directory 개요 마이크로소프트에서 논리적이고 계층적인 디렉터리 정보 구성을 위해 구조화된 데이터 저장소를 통한 분산된 자원들을 중앙에서 관리하기 위한 목적으로 출시된 액티브

www.igloo.co.kr

마이크로스프트에서 분산된 자원을 중앙에서 관리할 수 있는 데이터베이스이자 대규모 자원들의 접근 관리를 위한 사용자 인증 및 권한을 처리하는 서비스 집합

회사 직원들의 계정 정보와 컴퓨터에 대한 정보, 회사에서 강제하고자 하는 정책들에 대한 정보를 저장하는 일종의 DB

- 회사에서 강제하고자 하는 정책들 ex : 패스워드 최소 8자리, 30일마다 변경, 화면 보호기 실행 시간 지정

 

DB에 저장되어 있는 파일들은 암호화 되어 저장되기 때문에 별도의 콘솔인 MMC가 필요하다.

 

MMC

- AD 관리를 위한 콘솔

 

중앙에서 계정 관리 및 자원 접근 제어가 이루어지는 AD 환경을 위협하는 공격 패턴이 다수 발생함. 

마이터(MITRE)의 CVE를 기준으로 5가지 공격 형태 발생 (2013 ~ 2022)

1) 보안 기능 우회 2) 권한 상승 3) 서비스 거부 4) 정보 공개 5) 원격 코드 실행

- AD 보안 기능 우회 or 케르베로스(Kerberos) 인증 우회 or 잘못된 권한으로 서비스 계정 암호 변경 

- 중앙에서 하위 서버들의 인증과 관리를 담당하는 구조적 특징

==> 높은 권한을 가진 그룹 및 디렉토리를 이용하여 최소 권한 관리 모델을 우회하려는 형태의 공격들이 주를 이룸

 

Domain Controllere

- AD의 가장 큰 역할

- 도메인 안의 여러 자원을 사용하고자 하는 사용자에게 이름과 암호를 입력받아 인증서를 주는 인증 서비스

 

CVE-2021-42287

sAMAccountName 스푸핑을 사용하여 도메인 컨트롤러로 가장

- 사용자가 Kerberos를 사용하지 않고 S4U2elf(Kerberos Service-for-User-to-Self)를 이용해 인증 시도

==> Kerberos 사용한 것 처럼 권한이 부여된 Ticket 획득이 가능

- S4U2Self과정에서 KDC(Key Distribution Center)에 요청한 Machine Account(sAMACountName)인 'AD-DC-IGLOO'가 AD에 존재하지 않기 때문에 KDC에서 $를 붙인 TGS(Ticket-granting Service)가 발급된다. 

* KDC : 키 배포 센터 - 둘 이상의 시스템이 액세스 하여 키를 생성함

* TGS : KDC의 구성요소로 Kerberos 프로토콜에서 사용된다.  티켓 부여 서비스이다. 

* Kerberos 인증 프로토콜에서 KDC 를 통해 TGT라는 파일을 만들면 그 파일을 갖는 경우에 TGS 서비스 티켓을 얻고 이 티켓으로 액세스 권한이 부여된다. 

 

CVE-2022-26923

AD 인증서비스인 AD CS(Active Directory Certificate Service)가 설치된 AD 환경에서 권한이 낮은 사용자가 Domain Controller로 권한 상승이 가능한 취약점

- AD CS : Acrive Directory Certificate Service - 파일 시스템 암호화부터 디지털 서명 및 사용자 인증까지 모든 것을 제공하는 PKI(공개키 인프라)구현기술

  • 도메인 컴퓨터 계정 등록 시 등록 계정이 컴퓨터 계정의 소유자가 되며 dNSHostName, servicePrincipalName(SPN) 속성값을 변경하여 속성이 가지고 있는 제약 조건의 우회가 가능하다.
  • 인증서의 경우 계정의 암호가 재설정되더라도 인증서는 무효화되지 않는다는 특성이 존재하기 때문에 공격이후에도 인증서를 사용할 수 있게 된다.

위조된 dNSHostNAme과 SPN으로 인해 잘못발급된 인증서를 통해 Domain Controller의 NT Hash 획득, 서버 내 모든 계정 해시값 덤프, DCSync 공격이나 NT Hash 획득 ( + Kerberos Golden/Silver Ticket 공격, SSP, DSRM남용 등 다양한 도메인 지속성 공격 활용 가능)

 

CLOP 랜섬웨어 존재

AD 서버 공격

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=29823 

 

유통 대기업 A사 공격 클롭 랜섬웨어 분석보고서 공개

2020년 11월, 보안 업계뿐 아니라 국내 산업군 전체를 떠들썩하게 한 사건이 발생했다. 굴지의 유통 대기업 A사 시..

www.ahnlab.com

중앙화된 관리를 통해 다수의 윈도우 시스템을 효율적으로 관리할 수 있는 AD를 운영하는 기업을 공격 대상으로 둠. 

 

공격 과정 10단계 요약

 

TTPs#5 AD 환경을 위협하는 공격 패턴 분석

https://www.krcert.or.kr/kr/bbs/view.do?searchCnd=1&bbsId=B0000127&searchWrd=AD&menuNo=205021&pageIndex=1&categoryCode=&nttId=36069 

 

KISA 인터넷 보호나라&KrCERT

KISA 인터넷 보호나라&KrCERT

www.krcert.or.kr

AD(Active Directory) 관리자가 피해야 할 6가지 AD 운영 사례

https://www.krcert.or.kr/kr/bbs/view.do?searchCnd=1&bbsId=B0000127&searchWrd=AD&menuNo=205021&pageIndex=1&categoryCode=&nttId=34988 

 

KISA 인터넷 보호나라&KrCERT

KISA 인터넷 보호나라&KrCERT

www.krcert.or.kr

 

728x90

'개념정리' 카테고리의 다른 글

모르는 용어 정리 (23.03)  (0) 2023.03.16
모르는 용어 정리 (23.02)  (0) 2023.02.22

관련글

티스토리툴바