Temps de lecture :
3 minute(s)
-
25 février 2025
Active Directory Certificate Services (AD CS) est un composant essentiel de la gestion des identités et des certificats numériques en entreprise. Cependant, des configurations inadéquates peuvent exposer votre réseau à des vulnérabilités critiques.
Souvent négligées, ces failles permettent aux attaquants d’obtenir des privilèges élevés et de compromettre l’intégrité de votre environnement. Nous explorons ici deux vulnérabilités majeures, ESC1 et ESC8, ainsi que les mesures correctives pour sécuriser votre infrastructure.
Active Directory Certificate Services (AD CS) est le composant de l’infrastructure à clé publique (PKI) de Microsoft, intégré à Active Directory. Il permet la gestion des certificats numériques, l’authentification et la signature numérique au sein des environnements Windows. De plus, la plupart des certificats offerts par AD CS permettent aussi aux utilisateurs de s’authentifier sur votre réseau, similairement à entrer leur nom d’utilisateur et mot de passe. Les principaux avantages d’utiliser AD CS dans votre environnement incluent:
Cependant, malgré toutes ces avantages, AD CS peut introduire des vulnérabilités si sa configuration n’est pas faite correctement, même en utilisant des configurations par défaut de Microsoft. En 2021 des chercheurs de la compagnie américaine SpecterOps ont publié une étude approfondie qui met en lumière plusieurs failles potentielles dans AD CS. Pour faciliter la référence à ces configurations vulnérables, ils les ont numérotées avec le préfixe “ESC” (abréviation de “Escalation”, puisque leur exploitation résulte en une élévation de privilèges). ESC1 et ESC8 correspondent à deux scénarios distincts d’élévation de privilèges causés par des erreurs de configuration d’AD CS, que nous allons maintenant vous présenter.
Cette vulnérabilité survient lorsque des modèles de certificats (Certificate Templates) sont mal configurés, permettant à des utilisateurs non privilégiés d’ajouter des entrées dans le champ subjectAltName lors de la demande d’une signature de certificats depuis un modèle de certificat vulnérable.
L’attribut Subject Alternative Name (SAN) est utilisé dans les certificats numériques pour inclure plusieurs identités alternatives en plus du sujet principal du certificat. Cet attribut est utile dans des scénarios légitimes, par exemple lorsqu’un certificat doit être valide pour plusieurs domaines en même temps.
La faille s’introduit dans le scénario ou un compte du domaine peut lui-même inclure un sujet alternatif dans sa demande de certificat, et que ce certificat lui permet aussi de s’authentifier au domaine. Un attaquant ayant accès à ce compte pourrait donc générer un certificat lui permettant de s’authentifier en tant qu’administrateur du domaine, pour ensuite compromettre le domaine.
Pour vérifier si un de vos modèles de certificat est vulnérable à ESC1, rendez-vous à la console des modèles de certificats, en exécutant « certtmpl.msc » sur votre serveur AD CS. À partir d’ici, vous trouverez tous les modèles de certificats rattachés à votre AD CS.
Le correctif de cette vulnérabilité dépend toujours du cas d’usage pour le certificat. Souvent l’attribut « Supply in the request » a été ajouté par accident et peut être retirée. D’autres fois, trop de permissions pourrait avoir été assignés à un utilisateur ou à un groupe d’utilisateurs et ces permissions peuvent êtres révoqués. Parfois-même, le modèle de certificat n’est plus utilisé et peut être retiré.
ESC8 survient lorsque le service HTTP d’Active Directory Certificate Services (AD CS) est vulnérable aux attaques de relais NTLM. Le service HTTP est pratique pour permettre aux utilisateurs de générer facilement des certificats depuis un portail web. Un danger important à connaitre vient du fait que ce service est vulnérable à ce type attaques dans sa configuration par défaut. Des d’administrateurs de systèmes vont parfois déployer ce service en choisissant les configurations par défaut, sans se douter qu’ils introduisent ainsi une vulnérabilité critique sur leur réseau.
Les attaquants peuvent employés diverses techniques pour forcer le compte machine d’un serveur Windows à se connecter sur eux, dont la fameuse technique « PetitPotam » découverte par le chercheur Gilles Lionel en 2021. La connexion NTLM peut ensuite être relayée vers le service HTTP d’AD CS dans le but de recevoir un certificat pour ces machines et les utiliser à des fins néfastes. Souvent cette attaque sera utilisée pour usurper l’identité d’un contrôleur de domaine et l’utilisée pour compromettre l’entièreté du domaine.
Pour vérifier si le service HTTP est activé et s’il est vulnérable, depuis votre serveur AD CS rendez-vous sur le Gestionnaire de serveur, puis cherchez un service appelé « Certificate Enrollment Web Service » (le Service Web d’inscription aux certificats). S’il est actif, rendez-vous à « http://<nom_de_votre_serveur>/certsrv ».
Toutefois l’activation seule d’HTTPS n’est pas suffisante pour sécuriser votre serveur. Même si le service serait uniquement accessible par HTTPS, vous devez aussi vous rendent sur la console d’IIS et vous assurez que l’option « Requise » soit sélectionnée pour le service web d’inscription aux certificats, pour l’inscription web de l’autorité de certification, ainsi que vous assurez de mettre à jour le fichier « web.config » créé par le rôle CES.
Bien que ces étapes peuvent sembler compliqués, vous pouvez suivre les recommandations de Microsoft dans l’article KB5005413, qui détaille clairement chaque étapes à suivre pour sécuriser votre service HTTP sur AD CS.
Chez Precicom, nous offrons des services spécialisés pour sécuriser votre infrastructure Active Directory, y compris votre environnement AD CS, afin de réduire les risques majeurs liés à une configuration inadéquate. Nos experts vous accompagnent pour :
Nos experts analysent votre environnement pour identifier les failles de sécurité, y compris celles présentées dans cet article, et d’autres configurations critiques souvent négligées.
Nous vous fournissons un plan clair et adapté pour corriger les configurations à risque et renforcer la protection de votre infrastructure.
Nous déployons des mesures éprouvées pour limiter les risques et assurer une protection efficace de vos systèmes.
Nous proposons des formations ciblées pour renforcer la vigilance et les bonnes pratiques en matière de gestion des certificats et d’AD CS.
Gamme complète de solutions, certification ISO-27001, équipes et partenaires de confiance : nous offrons un soutien déterminant en assurant la saine gestion numérique d’organisations privées et publiques depuis 25 ans.
Conformité
Precicom
Chef de file en gouvernance, cybersécurité, services gérés et innovation TI
Sécurité
Jonathan Bolduc-Lecours
Chef d'équipe sécurité offensive
Nos solutions sont offertes en partenariat avec les meilleurs de l’industrie. Les organisations qui nous font confiance savent que nous sommes des spécialistes TI certifiés. Elles peuvent s’appuyer sur un allié technologique stratégique pour se concentrer sur leurs activités.
Tous ensemble, nous déployons notre sens des affaires, nos expertises et connaissances pour optimiser, sécuriser et développer des univers numériques. Nous dépassons les limites de la technologie pour surpasser les attentes.
Nous sommes Precicom.
