ADCS 101 verstehen

19. August 2024 Celia Catalán

In dieser Veröffentlichung werden wir die grundlegenden Aspekte von ADCS sowie die ESC1-Ausnutzungstechnik diskutieren.

Einführung in ADCS

Active Directory Certificate Services (ADCS) ist eine Windows-Serverrolle, die anpassbare Dienste für die Ausstellung und Verwaltung von PKI-Zertifikaten (Public Key Infrastructure) bereitstellt, die in Softwaresicherheitssystemen verwendet werden. Es ermöglicht Unternehmen, die Netzwerkkommunikation zu sichern, Benutzer und Geräte zu authentifizieren und die Datenintegrität durch kryptografische Dienste sicherzustellen. ADCS unterstützt verschiedene Arten von Zertifikaten, wie unter anderem SSL/TLS-Zertifikate, Code-Signing-Zertifikate und Smartcard-Anmeldezertifikate.

Die Verwendung von ADCS ist für Organisationen sehr nützlich, da sie Zertifikatvorlagen bereitstellen können, sodass Domänenbenutzer die Registrierung bei dieser Vorlage beantragen und Zertifikate erhalten können, wodurch sie Zugriff oder Berechtigungen für verschiedene Elemente der Domäne erhalten.

Eine schlechte Konfiguration der Active Directory-Zertifikatdiensterolle und ihrer Komponenten, wie z. B. Zertifikatvorlagen, kann zu verschiedenen Schwachstellen führen, die eine Erhöhung von Berechtigungen in der Domäne ermöglichen können.

Aufzählung der Schwachstellen

Um ADCS-Dienste während einer Prüfung zu überprüfen, werden häufig Tools wie Certify.exe oder Certipy verwendet.

Mit diesen beiden Tools können Sie Zertifikate von ADCS auflisten und anfordern, wodurch es einfacher wird, Vorlagen zu identifizieren, deren Konfiguration nicht korrekt ist und irgendeine Art von Missbrauch ermöglicht.

Enumeración de entidad certificadora (CA) en un entorno de Directorio Activo con certify.exe.

Bei der Aufzählung von Schwachstellen im Zusammenhang mit ADCS können je nach Situation der geprüften Umgebung unterschiedliche Missbrauchstechniken identifiziert werden. Solche Situationen oder schlecht konfigurierte Umgebungen sind mit Eskalationstechniken (ESC) verbunden, und derzeit gibt es insgesamt 13 (ESC1 – ESC13), die eine Erhöhung der Berechtigungen in der Domäne ermöglichen können.

Ausbeutung ESC1

ESC1 bezieht sich auf eine häufige Sicherheitslücke in ADCS-Konfigurationen, bei der Registrierungsberechtigungen falsch konfiguriert sind. Diese Fehlkonfiguration kann es Domänenbenutzern ermöglichen, Zertifikate im Namen eines anderen Kontos in der Organisation anzufordern, wodurch die Identität eines dieser Konten imitiert werden kann und die damit verbundenen Privilegien erweitert werden.

Mit Certify.exe können Sie wie folgt auflisten, mit welchen Vorlagen Sie Zertifikate im Namen eines anderen Benutzers anfordern können:

Terminal


                Certify.exe findet /enrolleeSuppliesSubject.

Enumeración Plantilla vulnerable a ESC1.

Sobald eine Vorlage erkannt wird, die die Selbstregistrierung bei jedem authentifizierten Domänenkonto ermöglicht und es Ihnen ermöglicht, den Namen des Kontos anzugeben, um das Zertifikat zu erhalten, ist es möglich, dieses Zertifikat auf folgende Weise zu erhalten:

Terminal


              Certify.exe-Anfrage /ca:'domain'\'certifying Authority (CA)' /template:"'vulnerable template name'" /altname:'domain account to imitation'

Solicitud de certificado en nombre de la cuenta “administrator”.

Nachdem Sie den vorherigen Befehl ausgeführt haben, können Sie ein Zertifikat im Namen eines beliebigen Domänenkontos erhalten, in diesem Fall des „Administrator“-Kontos. Anschließend ist es mit Tools wie OpenSSL möglich, diese Art von .pem-Zertifikaten in .pfx-Zertifikate umzuwandeln, die von Rubeus interpretiert werden können, um ein Ticket im Namen des Kontos zu erhalten, das mit dem ausgestellten Zertifikat verknüpft ist.