Certipy项目中的SID扩展策略模块问题分析

背景介绍

在2022年5月，微软修复了一个被称为Certifried的安全问题(CVE-2022-26923)，通过引入了SID扩展策略模块(KB5014754)。这项改进措施在2023年11月正式强制执行，拒绝接受不包含新扩展的证书。

SID扩展策略模块的作用

SID扩展策略模块主要解决了以下安全问题：

1. 在改进前，基于证书的身份验证不会考虑机器名称末尾的美元符号($)
2. 该改进主要针对防止机器账户被用于AD CS(Active Directory Certificate Services)进行不当操作

问题表现

在使用Certipy工具进行ESC8或ESC11测试时，用户会遇到以下问题：

1. 使用certipy relay获取pfx证书时，会收到提示"Certificate has no object SID"
2. 尝试使用该pfx证书进行认证时，会出现两个错误：
   • "Name mismatch between certificate and user"
   • 提示验证用户名是否与证书DNS主机名匹配
3. 错误代码为KDC_ERR_CLIENT_NAME_MISMATCH

技术分析

通过分析Certipy源代码发现：

1. 证书请求创建函数create_csr()缺少alt_sid=self.adcs_relay.sid参数
2. 即使使用-sid参数强制指定SID，SID会被嵌入到CSR中，但生成的PFX证书仍然存在问题
3. 使用OpenSSL检查证书时，发现证书中确实不包含SID属性

解决方案与变通方法

1. 对于未安装KB5014754更新的系统(2022年5月前)，仍然可以使用原有方法进行测试
2. 对于已安装更新的系统，可以尝试：
   • 使用-sid参数指定目标用户的SID
   • 探索其他测试路径如ESC15或ESC9/ESC10测试
3. Certipy v5版本已对此问题进行了改进尝试

安全建议

1. 管理员应确保所有域控制器和证书颁发机构都已安装最新更新
2. 定期检查AD CS配置，关闭不必要的Web Enrollment服务
3. 监控证书模板权限设置，防止过度授权
4. 考虑实施证书绑定和通道绑定等增强安全措施

总结

SID扩展策略模块的引入显著提高了AD CS的安全性，特别是针对机器账户的相关操作。安全研究人员和测试人员需要了解这些变化，并调整他们的测试方法。对于防御方而言，保持系统更新和正确配置是防止此类问题的关键。