Active Directory Certificate Services
Microsofts PKI-Rolle für Active Directory, die digitale Zertifikate für Authentifizierung, Verschlüsselung und Codesignierung ausstellt und verwaltet.
Active Directory Certificate Services (AD CS) ist die PKI-Rolle (Public Key Infrastructure) in Microsoft-Umgebungen. AD CS stellt digitale Zertifikate aus, die für TLS-Verschlüsselung, Smartcard-Authentifizierung, Codesignierung, WLAN- und VPN-Zugang sowie die Absicherung interner Kommunikation eingesetzt werden. Als Teil der Tier-0-Infrastruktur im Tiering-Modell ist eine kompromittierte Zertifizierungsstelle gleichbedeutend mit der vollständigen Übernahme der Active Directory-Domäne.
Funktionsweise
AD CS basiert auf einer oder mehreren Zertifizierungsstellen (Certificate Authorities, CAs), die in der AD-Gesamtstruktur verankert sind. Zertifikatsvorlagen definieren, welche Benutzer oder Computer welche Zertifikatstypen anfordern dürfen und welche Schlüsselverwendungen (Extended Key Usages) erlaubt sind. Auto-Enrollment ermöglicht die automatische Ausstellung von Zertifikaten per Gruppenrichtlinie, etwa für Computer- oder Benutzerauthentifizierung. Die Gültigkeit ausgestellter Zertifikate wird über Sperrlisten (CRL) oder das Online Certificate Status Protocol (OCSP) geprüft.
Angriffe auf AD CS (ESC1-ESC8)
Im Juni 2021 veröffentlichten Will Schroeder und Lee Christensen von SpecterOps das Whitepaper "Certified Pre-Owned", das acht Klassen von Fehlkonfigurationen in AD CS dokumentiert (ESC1 bis ESC8). Diese Angriffstechniken ermöglichen Privilege Escalation bis hin zur vollständigen Domänenübernahme.
Die kritischsten Klassen betreffen Zertifikatsvorlagen, bei denen der Antragsteller den Subject Alternative Name (SAN) selbst angeben darf (CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT), kombiniert mit fehlender Genehmigungspflicht und einem EKU für Client-Authentifizierung (ESC1). Ein Angreifer kann damit ein Zertifikat auf den Namen eines Domain Admins ausstellen und sich per Kerberos als dieser authentifizieren. ESC8 beschreibt NTLM-Relay-Angriffe gegen den Web-Enrollment-Dienst der CA, bei denen ein erzwungener Maschinenaccount des Domain Controllers zur Zertifikatsausstellung missbraucht wird.
Tools wie Certify und Certipy automatisieren die Enumeration und Ausnutzung dieser Fehlkonfigurationen und sind fester Bestandteil moderner AD-Assessments.
Härtung von AD CS
Die Absicherung beginnt mit einem vollständigen Audit aller Zertifikatsvorlagen. Vorlagen mit ENROLLEE_SUPPLIES_SUBJECT sollten entfernt oder auf berechtigte Administratoren eingeschränkt werden. Manager-Genehmigung (CA Certificate Manager Approval) verhindert die automatische Ausstellung sicherheitskritischer Zertifikate. Der Web-Enrollment-Dienst sollte deaktiviert oder durch HTTPS mit Extended Protection for Authentication abgesichert werden, um NTLM-Relay zu unterbinden. Audit-Richtlinien auf der CA protokollieren jede Zertifikatsausstellung und ermöglichen die Erkennung verdächtiger Anfragen per SIEM. Die CA selbst gehört als Tier-0-System auf ein gehärtetes, dediziertes System mit eingeschränkten Anmelderechten.
Relevanz für KMUs
AD CS wird in vielen Umgebungen eingerichtet und anschließend nicht weiter gepflegt. Die Standardvorlagen enthalten häufig genau die Fehlkonfigurationen, die ESC1 bis ESC8 ausnutzen. Ein strukturiertes Audit der Zertifikatsvorlagen und CA-Berechtigungen ist mit Bordmitteln und Open-Source-Tools umsetzbar und schließt Angriffspfade, die in der Praxis regelmäßig zur Domänenübernahme führen.