AD CS: инфраструктура и методы обнаружения атак

AD CS: инфраструктура и методы обнаружения атак

Подробное исследование инфраструктуры Active Directory Certificate Services (AD CS) и методов обнаружения атак от ESC1 до ESC16.
Главы продолжают выходить. Подпишитесь — и мы сообщим о публикации новых
Читать исследование Подписаться на обновления
Об исследовании
Этот материал раскрывает тонкости, которые часто не рассматриваются в кратких обзорах. Он может стать основой вашей политики безопасности AD CS и поможет:
  • разработать эффективные правила защиты AD
  • усилить безопасность корпоративной инфраструктуры
  • правильно настроить системы мониторинга
  • своевременно обнаруживать подозрительную активность
  • предотвратить атаки ESC от 1 до 16
  • создать надежные механизмы защиты AD CS
В исследовании вы найдете исчерпывающий материал по AD CS и анализу атак ESC от 1 до 16. Сегодня атаки на Active Directory составляют значительную долю успешных инцидентов кибербезопасности, и понимание механизмов их реализации критически важно для защиты инфраструктуры.
Роман Мгоев
Автор, специалист по анализу киберугроз, BI.ZONE
Что вы узнаете
Материал содержит:
Глубокий анализ каждого аспекта работы с AD CS. Вы научитесь настраивать шаблоны сертификатов, разберетесь в тонкостях политики центра сертификации и управлении через реестр
Разбор корреляционных правил и механизмов, помогающих обнаруживать уязвимости через анализ ошибок конфигурации
Практические рекомендации по подготовке инфраструктуры, чтобы злоумышленники не смогли реализовать атаки
Кому будет полезно
  • Специалистам по кибербезопасности
  • Тем, кто отвечает за PKI, SOC и защиту домена
Главы
AD CS. Архитектура и уязвимости
Об архитектуре и основах работы AD CS, без понимания которых невозможен анализ техник ESC
Август 2025 г.
Читать
ESC1. Сертификат без границ
Об атаке, при которой злоумышленник самостоятельно указывает имя владельца сертификата и получает сертификат от имени любого пользователя домена, включая администратора
Август 2025 г.
Читать
ESC16. SID тут больше не живет: глобальное отключение как уязвимость
О технике, связанной с отключением в CA специального расширения безопасности — сертификата, введенного в Windows в 2022 году — szOID_NTDS_CA_SECURITY_EXT
Август 2025 г.
Читать
Справочные материалы
Все ключевые параметры шаблонов, флаги конфигурации CA, атрибуты объектов Active Directory и расширений сертификатов
Читать
ESC2. Подписываю что хочу
О распространенном сценарии опасной конфигурации в AD CS. Иногда его называют уязвимостью Any Purpose EKU или SubCA шаблона. По сути, ESC2 — вариация ESC1, но без необходимости подделки SAN
ESC3. Один шаблон — хорошо, а два — путь к домену
О технике, при которой злоумышленник может получить сертификат от имени другого пользователя с помощью неправильно настроенного механизма enrollment agent. Такая атака позволяет эскалировать привилегии вплоть до прав администратора домена
ESC4. Права решают всё
О технике, которая представляет собой эскалацию привилегий в домене за счёт уязвимой настройки прав доступа (ACL) на объекте шаблона сертификата в AD CS
ESC5. Невидимая эскалация
Об атаке, основанной не на уязвимости кода, а на неправильно настроенных правах доступа к объектам, которые управляют выдачей, доверием и структурой сертификатов в среде Active Directory
ESC6. Как чужое имя в сертификате становится вашим кошмаром
Об атаке, основная причина которой — небезопасная настройка для обработки поля Subject Alternative Name на уровне центра сертификации
ESC7. ManageCA как ключ к Active Directory
О технике, при которой злоумышленник с низкими привилегиями может получить полный контроль над центром сертификации за счет неправильно настроенных прав доступа
ESC8. Как один HTTP-интерфейс может стоить вам домена
О технике, при которой злоумышленник эскалирует привилегии с помощью ретрансляции NTLM на веб-сервисы AD CS
ESC9. Эксплоит No Security Extension в корпоративном PKI
Об атаке, суть которой — в использовании шаблонов сертификатов, где отключено расширение безопасности szOID_NTDS_CA_SECURITY_EX (CT_FLAG_NO_SECURITY_EXTENSION)
ESC10. Как слабое сопоставление шаблонов сертификатов открывает путь к захвату AD
О технике, при которой злоумышленник запрашивает сертификат с произвольным UPN или DNS в поле SAN, не меняя ничего в AD, и использует его для входа от имени другой учетной записи
ESC11. Как отсутствие шифрования сертификатных запросов открывает двери для NTLM-релея
О технике, основанной на отсутствии обязательного шифрования запросов на сертификаты, отправляемых по RPC
ESC12. Секретный ключ, который открывает все двери
Об атаке, в которой злоумышленник получает возможность использовать закрытый ключ центра сертификации, хранящийся во внешнем аппаратном модуле безопасности — YubiHSM2
ESC13. Как группа без участников может дать права администратора
О технике, при которой злоумышленник получает привилегии, если в домене включен authentication mechanism assurance, а в шаблоне сертификата задан OID, связанный с группой AD через атрибут msDS-OIDToGroupLink
ESC14. Явное сопоставление сертификатов
Об атаке, основанной на слабых или некорректных значениях атрибута altSecurityIdentities
ESC15. Уязвимость шаблонов v1
О технике, при которой злоумышленник использует уязвимый шаблон сертификата v1, чтобы запросить сертификат с поддельным значением Subject и произвольными Application Policies (OID)