Používáte certifikáty v Microsoft Active Directory? Pak musíte řešit jejich kritickou zranitelnost.
Slovní spojení „kritická zranitelnost v Active Directory” zní dramaticky, a není divu. Pokud se někoho tato problematika týká a zanedbá ji, čekají jen zanedlouho dosti dramatické chvilky. O co přesně jde?
Dne 10. května 2022 vydal Microsoft bezpečnostní patch označený jako KB5014754, který se týká bez výjimky všech uživatelů využívajících certifikáty pro autentizaci v Microsoft Active Directory. Cílem tohoto patche je oprava tří kritických zranitelností: CVE-2022-26923, CVE-2022-26931 a CVE-2022-34691. Tyto zranitelnosti totiž umožňují eskalaci privilegií, na jejichž základě kterým může i běžný uživatel získat administrátorské oprávnění, které mu nepřísluší.
Pomoc, která zabolí
Patch je určen pro operační systémy Windows Server 2008, 2012, 2016, 2019, 20H2 a 2022 a Microsoft ho vzhledem k závažnosti zranitelností doporučuje aplikovat co nejdříve. „No tak ho aplikuji, o co jde?,” řekne si možná uživatel. Není to ale tak jednoduché. Tento patch bohužel mění způsob, jakým jsou certifikáty svázány s konkrétní identitou v Active Directory. A to znamená, že některé stále platné certifikáty brzy nebude možné pro autentizaci využít. Než ale začít panikařit, je lépe číst dál.
Období hájení do května 2023
Protože si Microsoft tento problém uvědomuje, ustanovil přechodné období, ve kterém bude stále ještě možné využít slabší ztotožnění certifikátů. Toto „období hájení” trvá do 9. května 2023 a vy během něj lze Active Directory využívat v jednom ze tří módů:
• Full enforcement: mód se silným ztotožněním, ve kterém ovšem některé certifikáty již nemusejí fungovat.
• Compatibility: defaultní mód, který nabízí silné i slabé ztotožnění a zatím umožňuje používání všech certifikátů. Slabé ztotožnění je přitom logováno upozorněním, takže se předem ví, které certifikáty budou brzy nepoužitelné.
• Disabled: mód, ve kterém neprobíhá ani žádné ztotožnění, ani žádné upozornění.
Druhé dva módy tedy prozatím mohou vytrhnout trn z paty, zároveň ale je třeba myslet na to, že oba budou k 9. květnu zrušeny. U disabled módu je navíc velký problém v tom, že se uživatel dopředu vůbec nedozví, zda a kde má problém.
Drtivé dopady na řadu služeb
A co se tedy stane „den poté”? Pokud uživatel včas nezakročí, pak funkcionality certifikátů pro autentizaci klienta, které se opírají o mechanismy Active Directory, budou v ohrožení. Týkat se to může například funkce Smart Card Log-on, autentizací na webové služby nebo i federačních služeb postavených na Active Directory. Aby bylo možno se těmto nepříjemnostem vyhnout a zajistit, aby vše fungovalo i po aplikování ochranného patche tak, jak má, bude po uživateli vyžadovat doména Active Directory vyšší akt důvěry, který držitele certifikátu jednoznačně sváže s identitou v AD.
Jak vytvořit novou důvěru?
Svázání certifikátu s identitou v AD lze provést přímo v nastavení certifikátů samotných. A to tím, že se do nich doplní určitá unikátní informace (SID – Security Identifier), která bude pro AD vysoce důvěryhodná a autorizuje se v prostředí domény. Pokud se (jako u většina uživatelů) využívá certifikační autoritu MS, existují dva způsoby, jak to provést: buď se v nastavení přepne na mód Build from this AD information, a certifikační autorita doplní do certifikátu hodnotu SID automaticky, nebo se spolehnout na mód Supply in the request, ve kterém obecná autorita přijímá žádost o certifikaci ve formátu PKCS#10. Do ní je ale nutné rozšíření SID zakódovat, což je zásah pro laika poměrně složitý.
Nebojte se požádat o pomoc
Pokud jde ze všech uvedených informací hlava kolem, vězte, že na to nemusíte být sami. V ProID (Monet+) dlouhodobě pomáháme klientům v oblasti digitální identity v prostředí Active Directory, proto nyní nabízíme bezplatnou revizi kritické zranitelnosti. Během ní zjistíme, zda se vás problém vůbec týká a pokud ano, poradíme, co je potřeba pro případnou nápravu. V případě vašeho zájmu vám pak pomůžeme i s následnou opravou a provedeme automatizaci životního cyklu vašich certifikátů. Zkrátka uděláme všechno proto, abyste se podobným kritickým scénářům a dramatům příště vyhnuli. O revizi či pomoc můžete požádat na webu www.proid.cz.
Využíváte ve své organizaci systémy PKI, certifikační autority a digitální certifikáty? Navštivte náš web www.proid.cz. Najdete zde kompletní nabídku našich služeb, spojených s kryptografií a řízením životního cyklu digitálních certifikátů.