На платформе Standoff 365 разобрали кейс, который должен лечь на стол каждому, кто отвечает за Active Directory. Цепочка: RCE на веб-приложении → движение к AD CS (Active Directory Certificate Services) → полный захват контроллера домена. И это не учебная тревога.
Суть: CVE-2024-4577 — далеко не единственная уязвимость, через которую можно войти. В сценарии от команды KiberS (капитан — Евгений Кабаргин, известный как kiberjen) атакующий не использует что-то из разряда магии нулевого дня. Он просто последовательно работает: эксплуатирует ошибку в веб-морде, получает точку опоры, а затем — через AD CS — эскалирует привилегии до администратора домена.
Почему это важно: AD CS — та самая подсистема, которую многие админы включают «по умолчанию» и забывают. Настройка сертификатов, шаблонов, разрешений — там, где дыры зияют годами. И если злоумышленник добрался до AD CS с минимальными правами, считай, что домен уже не твой.
Контекст: за последние год-полтора тема AD CS стала мейнстримом в атакующих техниках (вспомним PetitPotam, ESC8, NTLM Relay через сертификаты). Но здесь важно другое: уязвимость веб-приложения стала лишь первой дверью. Основное — это кривая конфигурация инфраструктуры, которая позволила пройти сквозь все слои защиты.
Практические последствия: если у вас на балансе хотя бы один сервер с ролью AD CS, немедленно проверяйте шаблоны сертификатов, разрешения на регистрацию, отключите ненужные протоколы (особенно NTLM там, где он не нужен). И да, аудит логов на предмет подозрительных запросов на сертификаты — это не паранойя, это гигиена.
Мой взгляд: кейс хорош тем, что он не про супер-эксплойт. Он про системную ошибку — когда админы верят, что «периметр защищён», а внутри — полное безобразие. И пока RKN банит всё подряд, реальные угрозы сидят в собственных доменах.
