| Разработчики: | Microsoft |
| Дата последнего релиза: | 2022/08/25 |
| Технологии: | ITSM - Системы управления IT-службой, Серверные платформы |
Содержание |
Основная статья: IT Service Management (ITSM)
Active Directory — LDAP-совместимая реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows NT.
Анатомия атаки через Active Directory
2025: Обнаружение уязвимости в центре сертификации
Эксперты УЦСБ предупредили о способе взлома корпоративных сетей с помощью центра сертификации Active Directory (AD CS). Об этом УЦСБ сообщил 29 мая 2025 года.
.png)
Для использования уязвимости, классифицированной как AD CS ESC16, злоумышленникам достаточно скомпрометировать всего одну непривилегированную учетную запись с определенными правами и выполнить от ее имени несколько команд. В результате такой атаки злоумышленники могут получить привилегированный доступ ко всей инфраструктуре, включенной в домен Active Directory.
Чтобы защитить корпоративную сеть, необходимо убедиться, что в настройках центра сертификации Active Directory включено расширение SID Security Extension. Оно позволяет идентифицировать пользователя по его уникальному номеру, а не по другим атрибутам, значения которых могут изменить преступники. Расширение стало доступно после выхода в мае 2022 обновления KB5014754, поэтому важно установить его или последующие кумулятивные обновления.
 | Центр сертификации — один из самых часто встречающихся векторов компрометации доменов Active Directory. Это уже шестнадцатая описанная техника повышения привилегий, использующая этот компонент, и будут появляться новые. В связи с этим необходимо регулярно проверять настройки AD CS и устранять недостатки конфигурации, сказал Дмитрий Зубарев, заместитель директора аналитического центра УЦСБ.
|  |
2022
Применение вредоносного ПО MagicWeb для посткомпрометации Active Directory
Злоумышленники, ответственные за атаку на цепочку поставок SolarWinds, стали использовать вредоносное ПО MagicWeb для посткомпрометации, которое применяется для поддержания постоянного доступа к скомпрометированной среде и совершения бокового перемещения. Об этом стало известно 25 августа 2022 года.
Исследователи из Microsoft обнаружили, как APT-группа Nobelium использует бэкдор после получения прав администратора на сервере Active Directory Federated Services (AD FS). При таком привилегированном доступе злоумышленники заменяют законную DLL-библиотеку вредоносной DLL-библиотекой MagicWeb. При этом вредоносное ПО загружается на сервере AD FS как легитимное ПО.
Как и контроллеры домена, серверы AD FS могут аутентифицировать пользователей. MagicWeb облегчает авторизацию для злоумышленников, позволяя манипулировать утверждениями в маркерах аутентификации AD FS. Так хакеры могут аутентифицироваться в сети.
По словам Microsoft, MagicWeb является улучшенной итерацией ранее использовавшегося специализированного инструмента FoggyWeb, который также обеспечивает прочный плацдарм внутри сетей жертв.Как меняется скоринг, и какие ошибки совершают банки, применяя в нём ИИ. Тренды от Совкомбанка на TAdviser SummIT 
MagicWeb превосходит возможности FoggyWeb по сбору данных, облегчая прямой скрытый доступ. Он манипулирует сертификатами аутентификации пользователя для авторизации, а не сертификатами подписи, используемыми в атаках по типу Golden SAML.
Согласно бюллетеню Microsoft, на август 2022 года использование MagicWeb является весьма целенаправленным и о жертвах данного ПО не сообщается[1].
Экстренное исправление проблемы авторизации
20 мая 2022 года стало известно о том, что компания Microsoft выпустила внеплановые исправления (OOB) для решения проблемы с авторизацией в Windows Active Directory (AD), над которыми работала с 12 мая 2022 года. Проблема появилась после установки на контроллеры домена обновлений Windows, выпущенных в майский вторник исправлений 2022 года. Сбои авторизации на стороне сервера или клиента наблюдались у служб Network Policy Server (NPS), Routing and Remote access Service (RRAS), Radius, Extensible Authentication Protocol (EAP) и Protected Extensible Authentication Protocol (PEAP). Проблема была связана с тем, как сопоставление сертификатов с учетными данными устройств обрабатывалось контроллером домена.
Как сообщалось, выпущенные обновления OOB Windows доступны только через Microsoft Update Catalog и не будут распространяться через Windows Update.
Компания выпустила следующие накопительные пакеты обновлений для установки на контроллеры домена:
- Windows Server 2022: KB5015013
- Windows Server, версия 20H2: KB5015020
- Windows Server 2019: KB5015018
- Windows Server 2016: KB5015019
Также были выпущены обновления, никак не связанные с проблемой:
- Windows Server 2012 R2: KB5014986
- Windows Server 2012: KB5014991
- Windows Server 2008 R2 SP1: KB5014987
- Windows Server 2008 SP2: KB5014990
Все обновления из списка можно вручную импортировать в службы обновления Windows Server Update Services (WSUS) и Microsoft Endpoint Configuration Manager. Инструкции по WSUS можно найти на странице WSUS, а по Configuration Manager – на странице импорта обновлений из Microsoft Update Catalog[2].
2019: В MaxPatrol SIEM загружен пакет для выявления аномалии в активности пользователей в Active Directory
10 апреля 2019 года компания Positive Technologies сообщила о загрузке пакета экспертизы в MaxPatrol SIEM, который позволяет выявлять аномалии в активности пользователей в Microsoft Active Directory. Подробнее здесь.
2011
Active Directory реализует для администраторов использование групповых политик (GPO) для обеспечения единообразия настройки пользовательской рабочей среды, развёртывание ПО на множестве компьютеров (через групповые политики или посредством Microsoft Systems Management Server 2003 (или System Center Configuration Manager)), устанавку обновлений ОС, прикладного и серверного ПО на всех компьютерах в сети (с использованием Windows Server Update Services (WSUS); Software Update Services (SUS) ранее).
Active Directory хранит данные и настройки среды в централизованной базе данных.
Информационные системы состоят из множества разнообразного оборудования и программного обеспечения. Управлять такой разрозненной информацией становится всё труднее без специализированных средств. Доменные службы Active Directory — централизованное хранилище сведений о конфигурации, запросов на проверку подлинности, а также сведений обо всех объектах, хранящихся в корпоративном лесе.
С помощью Active Directory можно эффективно управлять пользователями, компьютерами, группами, принтерами, приложениями и другими поддерживающими службы каталогов проектами из единого безопасного, централизованного места. Специалист компании «Кречет» Геннадий Ефимов рассказал о процедуре миграции на конкретном примере реализованного проекта, дал необходимые рекомендации и поделился советами и своим опытом, помог слушателям выделить причины и обосновать перед руководством необходимость миграции на Active Directory 2008 R2.
Примечания
Подрядчики-лидеры по количеству проектов
Naumen (Наумен консалтинг) (339) Softline (Софтлайн) (103) Okdesk (Облачные Решения) (50) Деснол Софт (40) Террасофт (Terrasoft, ТС-Консалтинг) (38) Другие (658) Naumen (Наумен консалтинг) (18) Elma (Элма, Интеллект Лаб, Практика БПМ) (12) SimpleOne (Симпл 1) (10) Softline (Софтлайн) (3) КСК Технологии (2) Другие (14)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Naumen (Наумен консалтинг) (8, 418) Microsoft (14, 108) OmniNet (ОмниНет) (4, 55) Смартнат (1, 53) Okdesk (Облачные Решения) (1, 51) Другие (625, 587) Naumen (Наумен консалтинг) (5, 27) Elma (Элма, Интеллект Лаб, Практика БПМ) (1, 12) SimpleOne (Симпл 1) (1, 10) Смартнат (1, 9) Деснол Софт (2, 2) Другие (9, 11) Naumen (Наумен консалтинг) (4, 16) SimpleOne (Симпл 1) (1, 8) Деснол Софт (2, 5) Elma (Элма, Интеллект Лаб, Практика БПМ) (1, 5) Смартнат (1, 4) Другие (14, 17) Naumen (Наумен консалтинг) (3, 15) Okdesk (Облачные Решения) (1, 8) Деснол Софт (1, 4) SimpleOne (Симпл 1) (1, 4) 1С Акционерное общество (1, 4) Другие (17, 22)Распределение систем по количеству проектов, не включая партнерские решения
Naumen Service Desk - 295 ITSM365.ru - 53 Okdesk Система учета и регистрации заявок для малых и средних сервисных компаний - 51 OmniTracker - 41 Service Desk Итилиум - 33 Другие 659 ELMA365 Service - 12 SimpleOne ITSM (IT Service Management) - 10 ITSM365.ru - 9 Naumen Service Desk - 7 Carbon Soft EvaServiceDesk - 2 Другие 12 SimpleOne ITSM (IT Service Management) - 8 Naumen Service Desk - 7 ELMA365 Service - 5 ITSM365.ru - 4 1С:Itilium - 3 Другие 17 Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (89) X-Com (Икс ком) (57) Крок (35) Астерос (34) Инфосистемы Джет (34) Другие (1146) X-Com (Икс ком) (8) Национальные Технологии (2) Аладдин Р.Д. (Aladdin R.D.) (2) ИЦ Телеком-Сервис (1) DA IT Company (1) Другие (27)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Аладдин Р.Д. (Aladdin R.D.) (1, 2) Dell EMC (1, 1) Delta Solutions (Дельта Солюшнс) (1, 1) Inferit (Инферит) (1, 1) Softline (Софтлайн) (1, 1) Другие (6, 6) КНС Групп (Yadro) (1, 4) Content AI (Контент ИИ) (1, 2) TrueConf (Труконф) (1, 2) Селектел (Selectel) (1, 1) Fplus (Ф-Плюс оборудование и разработки) ранее F+ tech (1, 1) Другие (6, 6) Softline (Софтлайн) (2, 3) КНС Групп (Yadro) (1, 3) 3Logic Group (Новый Ай Ти Проект) (2, 2) Inferit (Инферит) (1, 2) Гравитон (Ревотех, Революционные технологии) (1, 1) Другие (6, 6)Распределение систем по количеству проектов, не включая партнерские решения
Microsoft Active Directory - 32 Oracle Exadata Database Machine - 21 Oracle WebLogic Server - 20 Microsoft System Center Operations Manager (SCOM) - 18 Yadro Сервер - 17 Другие 389 JaCarta Authentication Server (JAS) - 2 Dell PowerEdge T-серия - 1 Инферит Серверы - 1 WildFly - 1 Depo Storm - 1 Другие 4 
