CVE-2022-26923 – Certifried | Elevação de Privilégio via Atributos de Máquina

Análise Técnica

Esta vulnerabilidade permite que qualquer usuário autenticado (que por padrão pode criar até 10 contas de máquina no AD via MachineAccountQuota) eleve seus privilégios para SYSTEM/Domain Admin.

O atacante cria uma conta de máquina e altera seu atributo dNSHostName para corresponder ao de um alvo privilegiado (ex: o Controlador de Domínio). Embora ele não possa alterar o sAMAccountName para duplicar o do DC, o AD CS (antes do patch) usava o dNSHostName para identificar o sujeito em certos templates de certificado implícitos. Ao solicitar um certificado para a máquina falsa, o AD CS emitia um certificado com o DNS do DC real. O atacante então usava esse certificado para autenticar-se via Kerberos, e o KDC o identificava como sendo o DC real.

Mapeamento e Exploração com Metasploit

• Módulo: auxiliary/admin/dcerpc/cve_2022_26923_certifried
• Capacidade: Automatiza todo o fluxo: criação de máquina, manipulação de DNS, requisição de cert e obtenção de TGT.

Cenário de Exploração Detalhado:

1. Execução:
   Bash
   

   msf6 > use auxiliary/admin/dcerpc/cve_2022_26923_certifried
   msf6 auxiliary(certifried) > set RHOSTS 192.168.10.5
   msf6 auxiliary(certifried) > set SMBUser usuario.padrao
   msf6 auxiliary(certifried) > set SMBPass senha123
   msf6 auxiliary(certifried) > run

   O módulo cria uma máquina (ex: ATTACK$), altera seu DNS para DC01.empresa.local, obtém o certificado e o usa para pegar o hash NTLM do DC.50

Remediação e Defesa em Profundidade

1. Patching: A atualização de Maio de 2022 alterou como o AD CS mapeia certificados para contas, introduzindo um novo OID forte que vincula o certificado ao SID do objeto, não apenas ao nome DNS.
2. MachineAccountQuota: Definir o atributo ms-DS-MachineAccountQuota do domínio para 0. Isso impede que usuários comuns criem novas contas de máquina, bloqueando o vetor inicial deste ataque (e de muitos outros).