Author: Uwe Gradenegger

Attaque contre Active Directory via Microsoft Intune - et comment l'endiguer avec TameMyCerts

Dirk-jan Mollema a récemment présenté une attaque permettant d'obtenir un certificat pour des comptes hautement privilégiés via Intune.. Celui-ci peut ensuite être utilisé pour compromettre l'ensemble de l'environnement Active Directory.

L'attaque est comparable dans ses grandes lignes à ce que j'ai déjà décrit dans l'article "De zéro à Enterprise Administrator grâce au service d'enregistrement des périphériques réseau (NDES) - et ce qui peut être fait à ce sujet" et dans l'article "Vecteur d'attaque sur le service d'annuaire Active Directory via le mécanisme de connexion par carte à puce"(également connu sous le nom de ESC1).

La nouveauté consiste toutefois à exploiter le système de gestion des appareils mobiles (MDM) - en l'occurrence Microsoft Intune - de manière appropriée.

Ce qui n'est pas nouveau en revanche, c'est ce qui peut être fait contre cela avec le module de politique TameMyCerts pour les Active Directory Certificate Services afin de réduire drastiquement la surface d'attaque...

Continuer la lecture de « Angriff auf das Active Directory über Microsoft Intune – und wie er mit TameMyCerts eingedämmt werden kann »

Ajouter automatiquement l'extension de certificat Security Identifier (SID) aux certificats demandés via Mobile Device Management (MDM) - avec le module TameMyCerts Policy pour Microsoft Active Directory Certificate Services (ADCS)

Après de multiples reports, Microsoft a finalement décidé que la Modifications apportées à l'émission de certificats et à l'ouverture de session basée sur des certificats dans Active Directory par le correctif pour Windows Server du 10 mai 2022 (KB5014754) devraient maintenant entrer définitivement en vigueur.

Les contrôleurs de domaine passeront donc automatiquement en mode "full enforcement" le 25 février 2025 si rien d'autre n'est configuré. En septembre 2025, il est annoncé que les paramètres divergents seront supprimés et qu'il n'y aura donc plus d'alternative au full enforcement.

Cela a pour conséquence que les inscriptions via PKInit ne peuvent être utilisées pour une inscription que si elles disposent de l'extension de certificat Security Identifier (SID) nouvellement introduite avec le patch.

Ce qui semble à première vue ne pas être un problème majeur peut en fait en devenir un si l'on considère que de moins en moins de cas d'application basés sur des certificats utilisent aujourd'hui l'auto-enrollment classique.

Comme le Module de politique TameMyCerts pour les services de certificats Active Directory peut aider à résoudre ce problème est expliqué plus en détail dans l'article suivant.

Continuer la lecture de « Die Security Identifier (SID) Zertifikaterweiterung in per Mobile Device Management (MDM) beantragte Zertifikate automatisch eintragen – mit dem TameMyCerts Policy Modul für die Microsoft Active Directory Certificate Services (ADCS) »

Prolonger ou raccourcir la période de validité des certificats d'autorité de certification racine

Dans le cas d'infrastructures à clé publique existantes, il se peut que l'on constate que la validité du certificat de l'autorité de certification racine n'a pas fait ses preuves. Par exemple, il se peut qu'elle soit trop courte (le paramètre par défaut de Microsoft ADCS est de cinq ans seulement), voire trop longue, ce qui n'est peut-être pas optimal du point de vue de la sécurité.

Si l'on renouvelle le certificat d'autorité de certification, on souhaite peut-être obtenir une autre durée de validité.

Continuer la lecture de « Verlängern oder verkürzen des Gültigkeitszeitraums von Stammzertifizierungsstellen-Zertifikaten »

Interdire la lecture de la configuration de l'autorité de certification par des comptes non privilégiés

Lors des tests d'intrusion et pour les attaquants qui recherchent des cibles potentielles sur le réseau, il est très intéressant d'avoir un aperçu de la configuration de l'autorité de certification.

Outre d'éventuelles erreurs de configuration, les pirates peuvent obtenir des informations sur le module Policy utilisé sur l'autorité de certification.

Continuer la lecture de « Auslesen der Konfiguration der Zertifizierungsstelle durch unprivilegierte Konten unterbinden »

Attestation YubiKey Personal Identity Verification (PIV) - avec le module TameMyCerts Policy pour Microsoft Active Directory Certificate Services (ADCS)

Depuis la version 1.7 récemment publiée, le système de gestion de l'information de l'université de Zurich prend en charge la gestion de l'information. Module de politique TameMyCerts pour les services de certificats Microsoft Active Directory l'attestation de vérification de l'identité personnelle (PIV) pour YubiKeys.

Une YubiKey est un jeton de sécurité compact qui peut être utilisé, entre autres, comme une carte à puce pour le stockage et l'utilisation sécurisés de certificats et peut donc également être utilisé pour une connexion sans mot de passe à des environnements Active Directory.

Cette fonction cool a été créée par Oscar Virot et intégrée dans TameMyCerts. Elle permet d'apporter une preuve cryptographique lors de l'émission d'un certificat et de garantir ainsi qu'une paire de clés est effectivement sécurisée par une YubiKey et ne peut pas être exportée.

Cela peut notamment s'avérer utile pour se conformer à la directive NIS2, dans la mesure où les entreprises optent pour des certificats comme deuxième facteur de connexion avec des comptes critiques en termes de sécurité dans Active Directory.

Continuer la lecture de « YubiKey Personal Identity Verification (PIV) Attestation – mit dem TameMyCerts Policy Modul für Microsoft Active Directory Certificate Services (ADCS) »

Les listes de blocage ne sont pas reconnues comme valides (uniquement) sous Windows (CRYPT_E_REVOCATION_OFFLINE)

Récemment, quelqu'un s'est adressé à moi avec un problème intéressant.

Une autorité de certification a été installée. Linux, c'est-à-dire (probablement) OpenSSL, sert de base. Les listes de blocage fonctionnent sur les clients Linux, mais ne sont pas acceptées par les systèmes Windows. Ici, le message d'erreur suivant apparaît toujours lorsque l'on vérifie les listes de blocage.

0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE) -- 2148081683 (-2146885613)
Text der Fehlermeldung: Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war.

En anglais, le message d'erreur est le suivant :

0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE) -- 2148081683 (-2146885613)
The revocation function was unable to check revocation because the revocation server was offline.
Continuer la lecture de « Sperrlisten werden (nur) auf Windows nicht als gültig erkannt (CRYPT_E_REVOCATION_OFFLINE) »

L'inscription par carte à puce échoue avec un message d'erreur "A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)".

Supposons le scénario suivant :

  • L'entreprise souhaite utiliser la connexion par carte à puce.
  • Les contrôleurs de domaine sont avec des certificats utilisables pour l'inscription par carte à puce équipée.
  • Les utilisateurs sont munis de certificats utilisables pour la connexion par carte à puce.
  • La connexion au domaine par carte à puce échoue avec le message d'erreur suivant :
A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)
Continuer la lecture de « Smartcard-Anmeldung schlägt fehl mit Fehlermeldung „A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)“ »

Combien de noms alternatifs (Subject Alternative Name, SAN) sont pris en charge par Active Directory Certificate Services ?

Comme tout logiciel les services de certificats Microsoft Active Directory sont également soumis à certaines limitesLes produits de la marque sont soumis à des contraintes imposées par leur conception.

Il n'est pas aussi évident de répondre à la question de savoir combien de Noms alternatifs des demandeurs (Subject Alternative Name, SAN) être délivrés avec l'autorité de certification Microsoft.

L'IETF RFC 5280 décrit la structure pour les Subject Alternative Names comme suit :

SubjectAltName ::= GeneralNames
Continuer la lecture de « Wie viele Alternative Antragstellernamen (engl. Subject Alternative Name, SAN) unterstützen die Active Directory Certificate Services? »

Comment la sécurisation des imprimantes peut devenir un désastre en matière de sécurité - et comment le module de politique TameMyCerts pour Active Directory Certificate Services (ADCS) peut empêcher cela

De nos jours, il est indispensable de protéger l'authentification des appareils sur le réseau de l'entreprise ainsi que les interfaces administratives. En règle générale, les certificats numériques sont utilisés à cet effet.

En règle générale, les imprimantes ont donc elles aussi besoin de certificats numériques pour pouvoir être exploitées en toute sécurité. A partir d'un certain nombre d'appareils, on ne peut plus éviter une distribution automatique des certificats.

Certains fabricants d'imprimantes proposent des solutions de gestion centralisée pour la distribution des certificats.

Malheureusement, on constate régulièrement que l'utilisation sûre des certificats numériques exige beaucoup de connaissances, d'expérience et de soin, ce qui n'est malheureusement souvent pas le cas.

Continuer la lecture de « Wie das Absichern von Druckern zum Security-Desaster werden kann – und wie das TameMyCerts Policy Modul für Active Directory Certificate Services (ADCS) dieses verhindern kann »

Nouvelle faille de sécurité ESC15 découverte dans Active Directory Certificate Services - contre-mesures faciles à mettre en œuvre

Les extensions de certificat "Key Usage" et "Extended Key Usage" permettent de déterminer à quelles fins un certificat numérique peut être utilisé. Dans l'extension de certificat "Extended Key Usage", les des utilisations de clés étendues pour lesquels le certificat peut être utilisé.

Il existe toutefois, pour les certificats émis par une autorité de certification Microsoft, une autre extension de certificat appelée "Application Policies" (en anglais : "Politiques d'application"), qui contient également une liste très similaire à l'extension Extended Key Usages.

Justin Bollinger de TrustedSec a découvert queque, pour les demandes de certificats hors ligne, il est contre Modèles de certificats de la version 1 du schéma est possible (comme pour la Extension Security Identifier), n'importe quel Politiques d'application dans la demande de certificat, qui sont reprises telles quelles dans le certificat délivré et peuvent ensuite être utilisées pour attaquer la structure globale d'Active Directory. L'attaque a été baptisée ESC15.

Continuer la lecture de « Neue Sicherheitslücke ESC15 in Active Directory Certificate Services entdeckt – einfach umzusetzende Gegenmaßnahmen »

Comment le module TameMyCerts Policy pour Active Directory Certificate Services (ADCS) peut réparer les demandes de certificats entrantes afin de les rendre conformes aux RFC

En commençant par la version 58, Google a décidé supprimer la prise en charge du Subject Distinguished Name des certificats de serveur web dans le navigateur Chrome et de n'accepter à la place que des certificats avec Subject Alternative Name.

Depuis ce moment, les certificats de serveur web sans Subject Alternative Name sont présentés sous la forme d'un dNSName de Google Chrome et d'autres Chromium(c'est-à-dire également les navigateurs Microsoft Edge) a été rejetée. D'autres fabricants de navigateurs ont rapidement adopté cette approche, de sorte que ce problème concerne désormais tous les navigateurs courants.

Continuer la lecture de « Wie das TameMyCerts Policy Modul für Active Directory Certificate Services (ADCS) eingehende Zertifikatanträge reparieren kann, um sie RFC-konform zu machen »

Comment le module de politique de TameMyCerts pour Active Directory Certificate Services (ADCS) peut aider à établir des processus de signature numérique dans l'entreprise

De nombreuses entreprises souhaitent aujourd'hui miser sur des processus sans papier afin d'accélérer les processus internes d'approbation et de signature. À l'heure où la plupart des employés travaillent à domicile, cette question a encore gagné en importance.

Bien que l'autorité de certification Microsoft soit en mesure de mettre en œuvre des processus automatiques d'émission de certificats, leurs possibilités d'influencer le contenu du certificat sont fortement limitées.

Le module TameMyCerts Policy pour Microsoft Active Directory Certificate Services (AD CS) permet de définir des règles de sécurité avancées. Règles pour le Subject Distinguished Name et aussi le Sujet Nom alternatif des certificats délivrés.

Continuer la lecture de « Wie das TameMyCerts Policy Modul für Active Directory Certificate Services (ADCS) beim Etablieren digitaler Signaturprozesse im Unternehmen helfen kann »

Comment le module de politique TameMyCerts pour Active Directory Certificate Services (ADCS) peut aider à sécuriser des scénarios avec Microsoft Intune et d'autres systèmes de gestion des dispositifs mobiles (MDM)

Les entreprises utilisent Gestion des dispositifs mobiles (MDM) Produits permettant de gérer, de configurer et de mettre à jour des appareils mobiles tels que des smartphones, des tablettes ou des systèmes de bureau via Internet (Over-the-Air, OTA).

Les produits de gestion des dispositifs mobiles les plus courants sont :

Continuer la lecture de « Wie das TameMyCerts Policy Modul für Active Directory Certificate Services (ADCS) dabei helfen kann, Szenarien mit Microsoft Intune und anderen Mobile Device Management (MDM) Systemen abzusichern »

Comment le module de politique TameMyCerts pour Active Directory Certificate Services (ADCS) peut détecter et prévenir les attaques contre les vecteurs d'attaque ESC6 et ESC7

Dans l'intention prétendument bonne de rendre ainsi possible la délivrance de telles exigences de certificat avec un SAN, deviner malheureusement beaucoup sur beaucoup de Instructions  de l'autorité de certification, le drapeau EDITF_ATTRIBUTESUBJECTALTNAME2 activer.

Si l'on active ce drapeau, une très grande surface d'attaque est offerte, car tout demandeur peut désormais ordonner à l'autorité de certification d'émettre des certificats avec n'importe quel contenu. Ce type d'attaque est connu dans le milieu de la sécurité sous le nom de ESC6 et ESC7 connu.

Continuer la lecture de « Wie das TameMyCerts Policy Modul für Active Directory Certificate Services (ADCS) Angriffe gegen die ESC6 und ESC7 Angriffsvektoren erkennen und verhindern kann »

Comment le module de politique TameMyCerts pour Active Directory Certificate Services (ADCS) peut empêcher les attaques contre le vecteur d'attaque ESC1

Les attaques contre les autorités de certification Microsoft peuvent viser à exploiter les autorisations sur les modèles de certificats. Dans de nombreux cas, les modèles de certificats doivent être configurés de manière à permettre au demandeur de demander n'importe quelle identité. Cela peut conduire à l'usurpation d'identité de comptes Active Directory et, par conséquent, à l'augmentation des droits par l'attaquant. Les attaques de ce type sont connues dans le milieu de la sécurité sous le nom d'"attaques par déni de service".ESC1".

Continuer la lecture de « Wie das TameMyCerts Policy Modul für Active Directory Certificate Services (ADCS) Angriffe gegen den ESC1 Angriffsvektor verhindern kann »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais