AD CS: инфраструктура и методы обнаружения атак

AD CS: инфраструктура и методы обнаружения атак

Подробное исследование инфраструктуры Active Directory Certificate Services (AD CS) и методов обнаружения атак от ESC1 до ESC16.
Главы продолжают выходить. Подпишитесь — и мы сообщим о публикации новых
Читать исследование Подписаться на обновления
Об исследовании
Этот материал раскрывает тонкости, которые часто не рассматриваются в кратких обзорах. Он может стать основой вашей политики безопасности AD CS и поможет:
  • разработать эффективные правила защиты AD
  • усилить безопасность корпоративной инфраструктуры
  • правильно настроить системы мониторинга
  • своевременно обнаруживать подозрительную активность
  • предотвратить атаки ESC от 1 до 16
  • создать надежные механизмы защиты AD CS
В исследовании вы найдете исчерпывающий материал по AD CS и анализу атак ESC от 1 до 16. Сегодня атаки на Active Directory составляют значительную долю успешных инцидентов кибербезопасности, и понимание механизмов их реализации критически важно для защиты инфраструктуры.
Роман Мгоев
Автор, специалист по анализу киберугроз, BI.ZONE
Что вы узнаете
Материал содержит:
Глубокий анализ каждого аспекта работы с AD CS. Вы научитесь настраивать шаблоны сертификатов, разберетесь в тонкостях политики центра сертификации и управлении через реестр
Разбор корреляционных правил и механизмов, помогающих обнаруживать уязвимости через анализ ошибок конфигурации
Практические рекомендации по подготовке инфраструктуры, чтобы злоумышленники не смогли реализовать атаки
Кому будет полезно
  • Специалистам по кибербезопасности
  • Тем, кто отвечает за PKI, SOC и защиту домена
Главы
AD CS. Архитектура и уязвимости
Об архитектуре и основах работы AD CS, без понимания которых невозможен анализ техник ESC
Июль 2025 г.
Читать
ESC1. Сертификат без границ
Об атаке, при которой злоумышленник самостоятельно указывает имя владельца сертификата и получает сертификат от имени любого пользователя домена, включая администратора
Август 2025 г.
Читать
ESC2. Подписываю что хочу
О распространенном сценарии опасной конфигурации в AD CS. Иногда его называют уязвимостью Any Purpose EKU или SubCA-шаблона. По сути, ESC2 — вариация ESC1, но без необходимости подделки SAN
Август 2025 г.
Читать
ESC3. Один шаблон — хорошо, а два — путь к домену
О технике, при которой злоумышленник может получить сертификат от имени другого пользователя с помощью неправильно настроенного механизма Enrollment Agent. Такая атака позволяет эскалировать привилегии вплоть до прав администратора домена
Август 2025 г.
Читать
ESC4. Права решают всё
О технике, которая представляет собой эскалацию привилегий в домене за счет уязвимой настройки прав доступа (ACL) на объекте шаблона сертификата в AD CS
Сентябрь 2025 г.
Читать
ESC5. Невидимая эскалация
Об атаке, основанной не на уязвимости кода, а на неправильно настроенных правах доступа к объектам, которые управляют выдачей, доверием и структурой сертификатов в среде Active Directory
Сентябрь 2025 г.
Читать
ESC6. Как чужое имя в сертификате становится вашим кошмаром
Об атаке, основная причина которой — небезопасная настройка для обработки поля Subject Alternative Name на уровне центра сертификации
Сентябрь 2025 г.
Читать
ESC7. Manage CA как ключ к Active Directory
О технике, при которой злоумышленник с низкими привилегиями может получить полный контроль над центром сертификации за счет неправильно настроенных прав доступа
Октябрь 2025 г.
Читать
ESC8. Как один HTTP‑интерфейс может стоить вам домена
О технике, при которой злоумышленник эскалирует привилегии с помощью ретрансляции NTLM на веб‑сервисы AD CS
Октябрь 2025 г.
Читать
ESC9. Эксплоит No Security Extension в корпоративной PKI
Об атаке, суть которой — в использовании шаблонов сертификатов, где отключено расширение безопасности szOID_NTDS_CA_SECURITY_EX (CT_FLAG_NO_SECURITY_EXTENSION)
Октябрь 2025 г.
Читать
ESC10. Как слабое сопоставление шаблонов сертификатов открывает путь к захвату AD
О технике, при которой злоумышленник запрашивает сертификат с произвольным UPN или DNS в поле SAN, не меняя ничего в AD, и использует его для входа от имени другой учетной записи
Октябрь 2025 г.
Читать
ESC11. Как отсутствие шифрования сертификатных запросов открывает двери для NTLM‑релея
О технике, основанной на отсутствии обязательного шифрования отправляемых по RPC запросов на сертификаты
Ноябрь 2025 г.
Читать
ESC12. Секретный ключ, который открывает все двери
Об атаке, в которой злоумышленник получает возможность использовать закрытый ключ центра сертификации, хранящийся во внешнем аппаратном модуле безопасности — YubiHSM 2
Ноябрь 2025 г.
Читать
ESC13. Как группа без участников может дать права администратора
О технике, при которой злоумышленник получает привилегии, если в домене включен authentication mechanism assurance, а в шаблоне сертификата задан OID, связанный с группой AD через атрибут msDS‑OIDToGroupLink
Ноябрь 2025 г.
Читать
ESC14. Явное сопоставление сертификатов
Об атаке, основанной на слабых или некорректных значениях атрибута altSecurityIdentities
Декабрь 2025 г.
Читать
ESC15. Уязвимость шаблонов
О технике, при которой злоумышленник использует уязвимый шаблон сертификата v1, чтобы запросить сертификат с поддельным значением Subject и произвольными application policies (OID)
Декабрь 2025 г.
Читать
ESC16. SID тут больше не живет: глобальное отключение как уязвимость
О технике, связанной с отключением в CA специального расширения безопасности — сертификата, введенного в Windows в 2022 году — szOID_NTDS_CA_SECURITY_EXT
Август 2025 г.
Читать
Справочные материалы
Все ключевые параметры шаблонов, флаги конфигурации CA, атрибуты объектов Active Directory и расширений сертификатов
Читать