· Threat Hunting Team · Ananta Security Labs  · 2 min read

Mauvaise Configuration des Services de Certificat Active Directory (ESC8) - Une Vulnérabilité Critique

ESC8 est une faille critique dans Active Directory Certificate Services - ADCS - qui peut mener à une compromission totale du domaine. Voici comment s’en protéger.

ESC8 est une faille critique dans Active Directory Certificate Services - ADCS - qui peut mener à une compromission totale du domaine. Voici comment s’en protéger.

Les services de certificats Active Directory (ADCS) sont un élément clé dans de nombreuses infrastructures Windows. Cependant, une mauvaise configuration peut introduire des vulnérabilités critiques, notamment ESC8, qui peut permettre à un attaquant d’élever ses privilèges jusqu’au niveau d’Administrateur de Domaine.

Comprendre ESC8 et son Exploitation

ESC8 repose principalement sur l’enrôlement Web d’ADCS. Si cette fonctionnalité est activée, les clients peuvent demander des certificats via une interface HTTP, ce qui ouvre plusieurs vecteurs d’attaques :

  • LDAP non signé : Cela permet aux attaquants de manipuler des requêtes d’authentification et d’effectuer des attaques par relais NTLM.
  • Coercion sur le Contrôleur de Domaine : Un attaquant peut exploiter certaines techniques pour inciter un DC à s’authentifier de manière détournée.

Une fois la vulnérabilité exploitée, l’attaquant peut obtenir un certificat d’authentification légitime, s’en servir pour usurper l’identité d’un utilisateur privilégié et, dans le pire des cas, prendre le contrôle total du domaine.

Comment se Protéger ?

Il existe plusieurs approches pour bloquer cette attaque, et elles n’ont pas toutes à être appliquées en même temps. Certaines peuvent avoir des effets secondaires, notamment la désactivation de NTLM.

🔹 Désactiver l’enrôlement web basé sur HTTP

  • Accéder à Server Manager sur le serveur AD CS.
  • Désactiver Certificate Enrollment Web Service et Certificate Authority Web Enrollment.
  • S’assurer que les services IIS liés à ADCS n’acceptent que des connexions HTTPS sécurisées.

🔹 Désactiver NTLM si possible

  • Appliquer des GPOs pour restreindre ou interdire NTLM sur les systèmes critiques.
  • Configurer IIS pour qu’il accepte uniquement Kerberos comme mode d’authentification.

⚠️ Attention : Désactiver NTLM sur l’ensemble du domaine peut causer des problèmes avec certaines applications. Une phase de test est essentielle avant un déploiement global.

🔹 Activer la signature LDAP

  • Forcer l’utilisation de LDAP signé pour éviter les attaques par relais NTLM.
  • Modifier les stratégies de sécurité des contrôleurs de domaine pour exiger un chiffrement LDAP sécurisé.

Voir l’article de Microsoft suivant pour une recommandation avancée.

🔹 Activer la Protection Étendue pour l’Authentification (EPA)

  • Dans IIS Manager, accéder aux paramètres avancés de l’authentification Windows. Activer Extended Protection for Authentication (EPA) pour bloquer les tentatives d’usurpation d’identité via NTLM.

Une Menace réelle mais maîtrisable

ESC8 n’est pas la faille la plus critique qui existe, mais c’est un chaînon exploitable dans de nombreux scénarios d’attaque Active Directory. En adoptant les bonnes pratiques et en configurant correctement ADCS, il est possible de bloquer efficacement cette menace tout en minimisant l’impact sur l’environnement.

Share:
Back to Blog

Related Posts

View All Posts »