• Sikkerhetshendelse? Ring nødnummer 21 62 79 79
Ta kontakt

Sikkerhetsblogg

Hvordan penetrasjonstesting avslører skjulte sårbarheter i Active Directory Certificate Services

Det finnes mange veier til domeneadministrator – noen avanserte, andre overraskende enkle. I denne artikkelen viser vi hvordan penetrasjonstesting hjelper oss med å avdekke kritiske sårbarheter i Active Directory Certificate Services (AD CS). Vi deler innsikt fra våre tester, der vi ofte oppnår full tilgang gjennom kjente feil som ESC1 og ESC8.

Kontormiljø med ansatte foran datamaskiner – illustrasjonsbilde til tema om sosial manipulering.

Hva er Active Directory Certificate Services (AD CS)?

Active Directory Certificate Services er en sentral komponent i mange Windows-baserte nettverk. Den brukes til å utstede og administrere digitale sertifikater, men feilkonfigurasjoner kan gi uønsket tilgang til privilegerte kontoer.

To av de vanligste feilene vi ser i penetrasjonstester er:

  • ESC1 – tillater lavt privilegerte brukere å få sertifikater på vegne av administratorer.
  • ESC8 – utnyttes via såkalte NTLM relay-angrep, der man bruker webtjenesten AD CS Web Enrollment til å hente ut sertifikater ved å manipulere autentiseringen.

Hvorfor er ESC1 og ESC8 en trussel?

Selv om disse sårbarhetene har vært kjent i flere år, oppdager vi dem fortsatt i mange kundemiljøer. Dette skyldes at de ikke lar seg fjerne med en enkel sikkerhetsoppdatering – her må det manuell konfigurering til.

  • ESC1 utnytter svake sertifikatmaler.
  • ESC8 benytter verktøy som PetitPotam eller DFSCoerce for å tvinge frem autentisering fra domenekontrolleren.

Slik bruker vi penetrasjonstesting for å avdekke sårbarheter

Våre sikkerhetstestere simulerer reelle angrep for å se hvor lett det er å oppnå domeneadministrator-rettigheter. I miljøer med feilkonfigurert AD CS er det ofte bare et spørsmål om minutter før vi har full kontroll. Dette er et tydelig signal på hvorfor penetrasjonstesting bør være en del av det kontinuerlige sikkerhetsarbeidet.

Anbefaling: Gjennomfør regelmessige penetrasjonstester

Vi anbefaler at virksomheter:

  • Gjennomfører årlige penetrasjonstester
  • Tester på nytt etter endringer i infrastruktur
  • Får kontroll på gamle sertifikatmaler i AD CS
  • Stanser NTLM relay-eksponering der det er mulig

Forebygging starter med innsikt. Ved å teste systemene dine før angriperne gjør det, får du oversikt over reelle risikoer og konkrete tiltak.

Klar for å teste sikkerheten din?

Lurer du på hvor sårbar din infrastruktur er? Vi hjelper deg med å identifisere og tette hullene. Kontakt oss for en uavhengig penetrasjonstest.

Vil du ta en prat med oss? Fyll ut skjema så tar vi kontakt med deg