skip to Main Content

„Certified Pre-Owned“ – Neue Wege zur Übernahme von Windows-Domänen durch Active Directory Certificate Services

„Heute bin ich Batman!“

Einfach derjenige sein, der man sein will. Die Abbildung zeigt eine schematische Darstellung einer Kombination von Fehlkonfigurationen in Windows-Domänen, über die jeder Benutzer sein kann, wer er möchte. Während jede einzelne Konfiguration – grün hinterlegt – keinen unmittelbaren Schaden bewirkt, ermöglicht deren Kombination eine einfache Übernahme der gesamten Domäne.

Fehlkonfigurationen in Active Directory-Umgebungen machen‘s möglich

Was in der Szene im „Citizens Registration Office“ vollkommen absurd wirkt, ist nach neuen Ergebnissen amerikanischer Sicherheitsforscher in vielen Firmennetzwerken gängige Praxis. In einem Whitepaper beschrieben sie im Juni 2021 acht Kombinationen von Fehlkonfigurationen im Windows-Zertifikats-Dienst „Active Directory Certificate Service (AD CS)“, die aus Sicherheitssicht fatale Konsequenzen haben. In der Abbildung ist davon der erste Fall, ESC1, dargestellt.
Der Anwendungszweck von AD CS ist es, Benutzern und Computern Zertifikate auszustellen, beispielsweise zur Authentisierung.

Kompromittierung der gesamten Domäne

Die Fehlkonfigurationen führen unter anderem zur Rechteausweitung („Privilege Escalation“), bei der man als ein Benutzer seiner Wahl, z.B. als ein „Domain Admin“, agiert. Zudem bieten sie Angreifern Möglichkeiten, Persistenz in einer Domäne zu erlangen.
Um die Fehlkonfigurationen auszunutzen, benötigt ein Angreifer meist Zugriff auf das Konto eines niedrig privilegierten Domänen-Benutzers, wie es beispielsweise nach einem erfolgreichen Phishing-Angriff der Fall ist. Hierdurch entsteht eine enorme Angriffsoberfläche, welche im weiteren Verlauf des Angriffs ausgenutzt werden kann.

Ist meine Domäne denn auch betroffen?

Gut möglich. Wir können den Eindruck der Sicherheitsforscher, dass es sich um ein sehr verbreitetes Problem handelt, aufgrund unserer Erfahrungen aus den letzten Penetrationstests bestätigen. So konnte it.sec in einem Penetrationstest ein Zertifikatstemplate identifizieren, welches wie oben dargestellt das Eintragen beliebiger Benutzernamen ermöglichte und ALLEN Domänen-Benutzern zur Verfügung stand. Hierüber konnte it.sec innerhalb von Minuten das gesamte Active Directory durch die Übernahme der Domain-Administrator Identität kompromittieren.

Und was nun?

Sicherheitsprobleme in AD CS wurden durch die Arbeit der amerikanischen Sicherheitsforscher erstmals umfangreicher und zusammenhängend untersucht. Die Ergebnisse lassen vermuten, dass dies der Beginn einer Reihe von neuen Angriffswegen sein könnte. Wir gehen davon aus, dass dieser Themenkomplex mindestens mittelfristig relevant bleibt – für Firmen, Angreifer und in unseren Pentest- und Red Teaming-Projekten.

Wenn Sie Unterstützung bei der Prüfung der bei Ihnen betriebenen Active Directory Certificate Services benötigen, stehen Ihnen die Penetrationstest-Experten der it.sec gerne zur Verfügung. Kontaktieren Sie uns unter pentests@it-sec.de.

Nina Wagner und Felix Büdenhölzer

IT Security Consultant

Referenzen:

– Blog article “Certified Pre-Owned”: https://posts.specterops.io/certified-pre-owned-d95910965cd2

– Whitepaper “Certified Pre-Owned”: https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf

Back To Top