检测ADCS权限提升

Active Directory证书服务（ADCS）用于管理企业环境中系统、用户、应用程序等的证书。ADCS中的错误配置可能给企业Active Directory环境引入严重漏洞。ESC1、ESC2&3、ESC4、ESC8等权限提升技术已在相关博客中讨论，这些博客包含可用于检测这些攻击的安全事件ID。本文将详细探讨如何检测其中部分攻击。

先检查日志……等等

首先，要创建恶意活动警报，需确保已启用ADCS事件日志记录。默认情况下，ADCS审计未启用。可通过certsrv工具查看CA的审计属性：右键单击CA > 属性 > 审计。如下截图所示，默认设置为不记录任何事件。

默认CA审计设置

我们需要修复此问题。可通过选择每个事件来启用审计，如下图所示。

启用ADCS审计

检测方法

在本博客中，我演示了名为ESC1的权限提升技术，该技术允许低权限账户提升至高权限账户（域管理员）。我还提到了以下安全事件ID：

• 4886 – 证书请求
• 4887 – 证书已颁发

在前一节中，我们启用了ADCS服务的审计，现在我们将看到在Microsoft Sentinel中的表现。Sentinel使用Kusto查询语言（KQL）。我们将运行以下基本查询来识别权限提升活动。

1
2

SecurityEvent
| where EventID == 4886 or EventID == 4887

进一步调查结果后，我们可以看到“请求者”和“UPN”（证书主题）不匹配。

Sentinel检测

警报配置

现在我们已经确认有适当的日志记录，并定义了查询来识别此攻击，让我们将此查询保存到Sentinel。

1. 选择保存 > 另存为查询
2. 命名查询
3. 添加描述
4. 选择保存

保存查询

接下来，基于定义的查询创建警报。点击“新建警报规则”，然后“创建Microsoft Sentinel警报”，基于此查询创建新规则。

创建新警报规则

定义名称、描述和严重性。您还可以设置MITRE技术。在此示例中，我仅修改名称和描述，其他值保留默认设置。

创建警报

配置规则逻辑，例如规则执行频率以及应检查多长时间的数据。在此示例中，我设置为每5分钟运行一次，并查看过去5分钟的数据。

创建潜在ESC1警报

查看规则配置，点击“保存”完成规则创建。

现在我们已经配置了警报，可以利用易受攻击的证书模板，使用低权限用户noprivuserADCS为域管理员doadmin请求证书。

1

certipy req -target-ip 192.168.2.4 \-u noprivuserADCS@doazlab.com \-p 'REDACTED' \-ca doazlab-DC01-CA \-template DOAZLab_User \-dc-ip 192.168.2.4 -upn doadmin@doazlab.com \-sid $DOADMINSID

利用ESC1漏洞

如果您导航到Azure中的Sentinel资源，您将看到表示触发的警报的图表。

Sentinel图表

如下图所示，我们之前配置的ADCS ESC1警报被触发。

ADCS ESC1警报触发

Microsoft最近发布了一个补丁，试图阻止低权限用户为特权账户请求证书。如果请求证书且请求者的SID与主题的SID不匹配，则会发生错误，事件ID为39或41。Windows事件如下所示。

无强映射错误

也可以在Sentinel中配置警报来检测此事件。

查询不匹配SID事件

现在您已启用审计并学会了如何在Sentinel中创建警报，您可以基于其他ADCS提升技术创建警报。以下是另外几个可考虑生成警报的事件ID：

• 4900 – 证书模板的安全权限已更改
• 4899 – 证书模板已更新

查询：显示修改的模板权限

总结

• ADCS中的错误配置可能给企业Active Directory环境引入严重漏洞。
• 默认情况下，ADCS未启用审计。启用ADCS审计以检测ADCS利用。
• 要了解更多关于如何使用Sentinel检测横向移动和权限提升的信息，请查看：
  • 假设妥协课程：https://www.antisyphontraining.com/course/attack-detect-defend-add-with-kent-ickler-and-jordan-drysdale/

资源

• 滥用Active Directory证书服务（第1部分）
• 滥用Active Directory证书服务（第2部分）
• 滥用Active Directory证书服务（第3部分）
• 滥用Active Directory证书服务（第4部分）
• https://specterops.io/wp-content/uploads/sites/3/2022/06/Certified_Pre-Owned.pdf
• https://github.com/AssumedCompromise/Resources
• https://www.blackhillsinfosec.com/deploy-an-active-directory-lab-within-minutes/
• https://www.blackhillsinfosec.com/the-azure-sandbox-purple-edition/
• https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn786423(v=ws.11)

准备好了解更多？通过Antisyphin的实惠课程提升您的技能！ 付费前进式培训，提供实时/虚拟和点播形式。