AD CS. Архитектура и уязвимости
Об архитектуре и основах работы AD CS, без понимания которых невозможен анализ техник ESC
AD CS: инфраструктура и методы обнаружения атак
Подробное исследование инфраструктуры Active Directory Certificate Services (AD CS) и методов обнаружения атак от ESC1 до ESC16
Об исследовании
Этот материал раскрывает тонкости, которые часто не рассматриваются в кратких обзорах. Он может стать основой вашей политики безопасности AD CS и поможет:
- разработать эффективные правила защиты AD
- усилить безопасность корпоративной инфраструктуры
- правильно настроить системы мониторинга
- своевременно обнаруживать подозрительную активность
- предотвратить атаки ESC от 1 до 16
- создать надежные механизмы защиты AD CS
В исследовании вы найдете исчерпывающий материал по AD CS и анализу атак ESC от 1 до 16. Сегодня атаки на Active Directory составляют значительную долю успешных инцидентов кибербезопасности, и понимание механизмов их реализации критически важно для защиты инфраструктуры.
Что вы узнаете
Материал содержит:
Глубокий анализ каждого аспекта работы с AD CS. Вы научитесь настраивать шаблоны сертификатов, разберетесь в тонкостях политики центра сертификации и управлении через реестр
Разбор корреляционных правил и механизмов, помогающих обнаруживать уязвимости через анализ ошибок конфигурации
Практические рекомендации по подготовке инфраструктуры, чтобы злоумышленники не смогли реализовать атаки
Кому будет полезно
- Специалистам по кибербезопасности
- Тем, кто отвечает за PKI, SOC и защиту домена
Главы
ESC1. Сертификат без границ
Об атаке, при которой злоумышленник самостоятельно указывает имя владельца сертификата и получает сертификат от имени любого пользователя домена, включая администратора
ESC2. Подписываю что хочу
О распространенном сценарии опасной конфигурации в AD CS. Иногда его называют уязвимостью Any Purpose EKU или SubCA-шаблона. По сути, ESC2 — вариация ESC1, но без необходимости подделки SAN
ESC3. Один шаблон — хорошо, а два — путь к домену
О технике, при которой злоумышленник может получить сертификат от имени другого пользователя с помощью неправильно настроенного механизма Enrollment Agent. Такая атака позволяет эскалировать привилегии вплоть до прав администратора домена
ESC4. Права решают всё
О технике, которая представляет собой эскалацию привилегий в домене за счет уязвимой настройки прав доступа (ACL) на объекте шаблона сертификата в AD CS
ESC5. Невидимая эскалация
Об атаке, основанной не на уязвимости кода, а на неправильно настроенных правах доступа к объектам, которые управляют выдачей, доверием и структурой сертификатов в среде Active Directory
ESC6. Как чужое имя в сертификате становится вашим кошмаром
Об атаке, основная причина которой — небезопасная настройка для обработки поля Subject Alternative Name на уровне центра сертификации
ESC7. Manage CA как ключ к Active Directory
О технике, при которой злоумышленник с низкими привилегиями может получить полный контроль над центром сертификации за счет неправильно настроенных прав доступа
ESC8. Как один HTTP‑интерфейс может стоить вам домена
О технике, при которой злоумышленник эскалирует привилегии с помощью ретрансляции NTLM на веб‑сервисы AD CS
ESC9. Эксплоит No Security Extension в корпоративной PKI
Об атаке, суть которой — в использовании шаблонов сертификатов, где отключено расширение безопасности
szOID_NTDS_CA_SECURITY_EX (CT_FLAG_NO_SECURITY_EXTENSION)
ESC10. Как слабое сопоставление шаблонов сертификатов открывает путь к захвату AD
О технике, при которой злоумышленник запрашивает сертификат с произвольным UPN или DNS в поле SAN, не меняя ничего в AD, и использует его для входа от имени другой учетной записи
ESC11. Как отсутствие шифрования сертификатных запросов открывает двери для NTLM‑релея
О технике, основанной на отсутствии обязательного шифрования отправляемых по RPC запросов на сертификаты
ESC12. Секретный ключ, который открывает все двери
Об атаке, в которой злоумышленник получает возможность использовать закрытый ключ центра сертификации, хранящийся во внешнем аппаратном модуле безопасности — YubiHSM 2
ESC13. Как группа без участников может дать права администратора
О технике, при которой злоумышленник получает привилегии, если в домене включен authentication mechanism assurance, а в шаблоне сертификата задан OID, связанный с группой AD через атрибут
msDS‑OIDToGroupLink
ESC14. Явное сопоставление сертификатов
Об атаке, основанной на слабых или некорректных значениях атрибута
altSecurityIdentities
ESC15. Уязвимость шаблонов
О технике, при которой злоумышленник использует уязвимый шаблон сертификата v1, чтобы запросить сертификат с поддельным значением Subject и произвольными application policies (OID)
ESC16. SID тут больше не живет: глобальное отключение как уязвимость
О технике, связанной с отключением в CA специального расширения безопасности — сертификата, введенного в Windows в 2022 году —
szOID_NTDS_CA_SECURITY_EXT
Справочные материалы
Все ключевые параметры шаблонов, флаги конфигурации CA, атрибуты объектов Active Directory и расширений сертификатов