Noe vi ser veldig mye av når vi gjør kommunetester er at ADCS (Active Directory Certificate Services) ikke er satt opp sikkert. Følgende tiltak lukker kjente sårbarheter
ESC1
Mitigate ESC1
Bakgrunn
Normale brukerkontoer kan be om et sertifikat for en Domain Admin, og dermed enkelt bli Domain Admin.
SpecterOps rapporterte ESC1-8 i 2021 og beskriver også løsninger.
ESC1 består av en rekke feilkonfigureringer som til sammen gjør at en normal User kan bli Domain Admin.
Konsekvens for brukere: Usannsynlig
Man må vurdere hva hver enkelt Certificate mal benyttes til før man endrer, så man er sikker på at fiksene ikke bryter med funksjonen.
Vanligvis skal det ikke være noe problem å fikse feilene. Internet artikkelen nedenfor beskriver også hvordan man kan sjekke om noen forsøker å utnytte ESC1 svakheten.
Liste over konfigurasjoner som må endres:
- Bytte Subject Name fra "Supply in the request" til "Build from this Active Directory information"
- Fjerne Enrollment Rights fra Domain Users, og gi dem Read Only
Microsoft anbefaler også å aktivere "Issuance Requirements > CA certificate manager approval".
Dette gir veldig stor trygghet, men det gjør at alle sertifikatforespørsler må godkjennes manuelt i Certificate Authority verktøyet under "Pending Requests". Dersom man har kapasitet til dette så er det sikkerhetsmessig anbefalt, men hvis man fikser de to andre svakhetene vil man ha utbedret ESC1 trusselen.
Kompleksitet på endringen: Lav (ADSC innstilling)
Teknisk beskrivelses
Åpne Certificate Authority > Certificate Templates
For alle Templates, verifiser at Properties > Subject Name er satt til "Build from this Active Directory information"
For alle Templates, verifiser at Properties > Security > Domain Users kun har Read og ikke har Enroll. Legg til evt grupper som trenger Enroll.
Artikler
Microsoft Doc: https://learn.microsoft.com/en-us/defender-for-identity/security-assessment-prevent-users-request-certificate
Internet artikkel: https://www.beyondtrust.com/blog/entry/esc1-attacks
ESC originale beskrivelser: https://specterops.io/wp-content/uploads/sites/3/2022/06/Certified_Pre-Owned.pdf
ESC8
Mitigate ESC8
Bakgrunn
Sertifikatutsending over HTTP kan benyttes i NTLM relay angrep.
SpecterOps rapporterte ESC1-8 i 2021 og beskriver også løsninger.
ESC8 består av to konfigureringer som til sammen utgjør en trussel.
Konsekvens for brukere: Usannsynlig
Man må vurdere hva hver enkelt sertifikatmal benyttes til før man utfører endringer, slik at man er sikker på at endringene ikke bryter med nåværende funksjonalitet.
Vanligvis skal det ikke være noe problem å fikse feilkonfigurasjoner.
Internett-artikkelen nedenfor beskriver også hvordan man kan sjekke om noen forsøker å utnytte ESC1 svakheten.
Liste over konfigurasjoner som må endres:
- Verifisere at alle AD CS Web grensesnitt kun benytter HTTPS.
- Fjerne Enrollment Rights fra Domain Users, og gi dem Read Only (Forhåpentligvis allerede fikset under ESC1)
Kompleksitet på endringen: Middels (IIS Manager)
Teknisk beskrivelses
Åpne Internet Information Services (IIS) Manager > Servername > Sites > Default Web Site
Velg Bindings i Actions menyen på høyre side. Sikre at https finnes.
Åpne Internet Information Services (IIS) Manager > Servername > Sites > Default Web Site > CertSrv > SSL Settings
Kryss av for "Require SSL"
Dersom man ikke har HTTPS Binding fra før må det opprettes, se link nedenfor.
Artikler
Microsoft Doc: https://learn.microsoft.com/en-us/defender-for-identity/security-assessment-insecure-adcs-certificate-enrollment
Internett-artikkel: https://www.beyondtrust.com/blog/entry/esc1-attacks
ESC originale beskrivelser: https://specterops.io/wp-content/uploads/sites/3/2022/06/Certified_Pre-Owned.pdf
ESC15
Mitigate ESC15
Bakgrunn
Sertifikatutsending over HTTP kan benyttes i NTLM relay angrep.
Oppdaget i 8 oktober 2024 og patchet gjennom Windows Update av Microsoft med CVE-2024-49019 i 12 november 2024.
ESC15 består av to konfigurasjoner som til sammen utgjør en trussel.
Konsekvens for brukere: Usannsynlig
Kompleksitet på endringen: Lav (ADSC innstilling)
Teknisk beskrivelses
Utfør ESC1 utbedringene, disse vil også fikse ESC15
Patch server med Windows Update
Artikler
Microsoft Doc: https://learn.microsoft.com/en-us/defender-for-identity/prevent-certificate-enrollment-esc15
Microsoft general tips for securing PKI: https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn786426%28v=ws.11%29#securing-certificate-templates
Internet artikkel: https://trustedsec.com/blog/ekuwu-not-just-another-ad-cs-esc
Internet artikkel: https://www.ravenswoodtechnology.com/esc15-vulnerability/