TOP

KYBEZ

Používáte certifikáty v Microsoft Active Directory? Pak musíte řešit jejich kritickou zranitelnost.

Slovní spojení „kritická zranitelnost v Active Directory” zní dramaticky. A není divu. Pokud se vás tato problematika týká a vy ji zanedbáte, čekají vás zanedlouho opravdu dramatické chvilky. O co přesně jde? 

 

Dne 10. května 2022 vydal Microsoft bezpečnostní patch označený jako KB5014754, který se týká bez výjimky všech uživatelů využívajících certifikáty pro autentizaci v Microsoft Active Directory. Cílem tohoto patche je oprava tří kritických zranitelností: CVE-2022-26923, CVE-2022-26931 a CVE-2022-34691. Tyto zranitelnosti totiž umožňují eskalaci privilegií, díky kterým může i běžný uživatel získat administrátorské oprávnění, které mu nepřísluší.

 

Pomoc, která zabolí

Patch je určen pro operační systémy Windows Server 2008, 2012, 2016, 2019, 20H2 a 2022 a Microsoft ho vzhledem k závažnosti zranitelností doporučuje aplikovat co nejdříve. „No tak ho aplikuji, o co jde?,” řeknete si možná. Není to ale tak jednoduché. Tento patch bohužel mění způsob, jakým jsou certifikáty svázány s konkrétní identitou v Active Directory. A to znamená, že některé vaše stále platné certifikáty brzy nebude možné pro autentizaci využít. Než ale začnete panikařit, čtěte dál.

 

Období hájení do 9. 5. 2023

Protože si Microsoft tento problém uvědomuje, ustanovil přechodné období, ve kterém bude stále ještě možné využít slabší ztotožnění certifikátů. Toto  „období hájení” trvá do 9. května 2023 a vy během něj můžete Active Directory využívat v jednom ze tří módů:

  • Full enforcement: mód se silným ztotožněním, ve kterém ovšem některé certifikáty již nemusí fungovat.
  • Compatibility: defaultní mód, který nabízí silné i slabé ztotožnění a zatím umožňuje používání všech certifikátů. Slabé ztotožnění je přitom logováno upozorněním, takže předem víte, které certifikáty budou brzy nepoužitelné.
  • Disabled: mód, ve kterém neprobíhá žádné ztotožnění, ale ani žádné upozornění.

Druhé dva módy vám tedy prozatím mohou vytrhnout trn z paty, zároveň ale myslete na to, že oba budou k 9. květnu zrušeny. U disabled módu je navíc velký problém v tom, že se dopředu vůbec nedozvíte, zda a kde máte problém.

 

Drtivé dopady na celou řadu služeb

A co se tedy stane „den poté”? Pokud včas nezakročíte, funkcionality certifikátů pro autentizaci klienta, které se opírají o mechanismy Active Directory, budou v ohrožení. Týkat se to může například funkce Smart Card Log-on, autentizací na webové služby nebo i federačních služeb postavených na Active Directory. Abyste se těmto nepříjemnostem vyhnuli a vše vám fungovalo i po aplikování ochranného patche tak, jak má, bude po vás doména Active Directory vyžadovat vyšší akt důvěry, který držitele certifikátu jednoznačně sváže s identitou v AD.

 

Jak vytvořit novou důvěru?

Svázání certifikátu s identitou v AD můžete provést přímo v nastavení certifikátů samotných. A to tím, že do nich doplníte určitou unikátní informaci (SID – Security Identifier), která bude pro AD vysoce důvěryhodná a autorizuje se v prostředí domény. Pokud (jako většina uživatelů) využíváte certifikační autoritu MS, existují dva způsoby, jak to provést: buď v nastavení přepnete na mód Build from this AD information, a certifikační autorita doplní do certifikátu hodnotu SID automaticky. Nebo se spolehnete na mód Supply in the request, ve kterém obecná autorita přijímá žádost o certifikaci ve formátu PKCS#10. Do ní je ale nutné rozšíření SID zakódovat, což je zásah pro laika poměrně složitý.

 

Nebojte se požádat o pomoc

Pokud vám ze všech uvedených informací jde hlava kolem, vězte, že na to nemusíte být sami. V ProID (Monet+) dlouhodobě pomáháme klientům v oblasti digitální identity v prostředí Active Directory, proto nyní nabízíme bezplatnou revizi kritické zranitelnosti. Během ní zjistíme, zda se vás problém vůbec týká a pokud ano, poradíme, co je potřeba pro případnou nápravu. V případě vašeho zájmu vám pak pomůžeme i s následnou opravou a provedeme automatizaci životního cyklu vašich certifikátů. Zkrátka uděláme všechno proto, abyste se podobným kritickým scénářům a dramatům příště vyhnuli. O revizi či pomoc můžete požádat na webu www.proid.cz.

 

Využíváte ve své organizaci systémy PKI, certifikační autority a digitální certifikáty? Navštivte náš web www.proid.cz. Najdete zde kompletní nabídku našich služeb, spojených s kryptografií a řízením životního cyklu digitálních certifikátů.