Zertifizierungsstelle – Uwe Gradenegger

Attaque contre Active Directory via Microsoft Intune - et comment l'endiguer avec TameMyCerts

Dirk-jan Mollema a récemment présenté une attaque permettant d'obtenir un certificat pour des comptes hautement privilégiés via Intune.. Celui-ci peut ensuite être utilisé pour compromettre l'ensemble de l'environnement Active Directory.

L'attaque est comparable dans ses grandes lignes à ce que j'ai déjà décrit dans l'article "De zéro à Enterprise Administrator grâce au service d'enregistrement des périphériques réseau (NDES) - et ce qui peut être fait à ce sujet" et dans l'article "Vecteur d'attaque sur le service d'annuaire Active Directory via le mécanisme de connexion par carte à puce"(également connu sous le nom de ESC1).

La nouveauté consiste toutefois à exploiter le système de gestion des appareils mobiles (MDM) - en l'occurrence Microsoft Intune - de manière appropriée.

Ce qui n'est pas nouveau en revanche, c'est ce qui peut être fait contre cela avec le module de politique TameMyCerts pour les Active Directory Certificate Services afin de réduire drastiquement la surface d'attaque...

Continuer la lecture

Prolonger ou raccourcir la période de validité des certificats d'autorité de certification racine

Dans le cas d'infrastructures à clé publique existantes, il se peut que l'on constate que la validité du certificat de l'autorité de certification racine n'a pas fait ses preuves. Par exemple, il se peut qu'elle soit trop courte (le paramètre par défaut de Microsoft ADCS est de cinq ans seulement), voire trop longue, ce qui n'est peut-être pas optimal du point de vue de la sécurité.

Si l'on renouvelle le certificat d'autorité de certification, on souhaite peut-être obtenir une autre durée de validité.

Continuer la lecture

Interdire la lecture de la configuration de l'autorité de certification par des comptes non privilégiés

Lors des tests d'intrusion et pour les attaquants qui recherchent des cibles potentielles sur le réseau, il est très intéressant d'avoir un aperçu de la configuration de l'autorité de certification.

Outre d'éventuelles erreurs de configuration, les pirates peuvent obtenir des informations sur le module Policy utilisé sur l'autorité de certification.

Continuer la lecture

Attestation YubiKey Personal Identity Verification (PIV) - avec le module TameMyCerts Policy pour Microsoft Active Directory Certificate Services (ADCS)

Depuis la version 1.7 récemment publiée, le système de gestion de l'information de l'université de Zurich prend en charge la gestion de l'information. Module de politique TameMyCerts pour les services de certificats Microsoft Active Directory l'attestation de vérification de l'identité personnelle (PIV) pour YubiKeys.

Une YubiKey est un jeton de sécurité compact qui peut être utilisé, entre autres, comme une carte à puce pour le stockage et l'utilisation sécurisés de certificats et peut donc également être utilisé pour une connexion sans mot de passe à des environnements Active Directory.

Cette fonction cool a été créée par Oscar Virot et intégrée dans TameMyCerts. Elle permet d'apporter une preuve cryptographique lors de l'émission d'un certificat et de garantir ainsi qu'une paire de clés est effectivement sécurisée par une YubiKey et ne peut pas être exportée.

Cela peut notamment s'avérer utile pour se conformer à la directive NIS2, dans la mesure où les entreprises optent pour des certificats comme deuxième facteur de connexion avec des comptes critiques en termes de sécurité dans Active Directory.

Continuer la lecture

Les listes de blocage ne sont pas reconnues comme valides (uniquement) sous Windows (CRYPT_E_REVOCATION_OFFLINE)

Récemment, quelqu'un s'est adressé à moi avec un problème intéressant.

Une autorité de certification a été installée. Linux, c'est-à-dire (probablement) OpenSSL, sert de base. Les listes de blocage fonctionnent sur les clients Linux, mais ne sont pas acceptées par les systèmes Windows. Ici, le message d'erreur suivant apparaît toujours lorsque l'on vérifie les listes de blocage.

0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE) -- 2148081683 (-2146885613)
Text der Fehlermeldung: Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war.

En anglais, le message d'erreur est le suivant :

0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE) -- 2148081683 (-2146885613)
The revocation function was unable to check revocation because the revocation server was offline.

Continuer la lecture

Comment la sécurisation des imprimantes peut devenir un désastre en matière de sécurité - et comment le module de politique TameMyCerts pour Active Directory Certificate Services (ADCS) peut empêcher cela

De nos jours, il est indispensable de protéger l'authentification des appareils sur le réseau de l'entreprise ainsi que les interfaces administratives. En règle générale, les certificats numériques sont utilisés à cet effet.

En règle générale, les imprimantes ont donc elles aussi besoin de certificats numériques pour pouvoir être exploitées en toute sécurité. A partir d'un certain nombre d'appareils, on ne peut plus éviter une distribution automatique des certificats.

Certains fabricants d'imprimantes proposent des solutions de gestion centralisée pour la distribution des certificats.

Malheureusement, on constate régulièrement que l'utilisation sûre des certificats numériques exige beaucoup de connaissances, d'expérience et de soin, ce qui n'est malheureusement souvent pas le cas.

Continuer la lecture

Nouvelle faille de sécurité ESC15 découverte dans Active Directory Certificate Services - contre-mesures faciles à mettre en œuvre

Les extensions de certificat "Key Usage" et "Extended Key Usage" permettent de déterminer à quelles fins un certificat numérique peut être utilisé. Dans l'extension de certificat "Extended Key Usage", les des utilisations de clés étendues pour lesquels le certificat peut être utilisé.

Il existe toutefois, pour les certificats émis par une autorité de certification Microsoft, une autre extension de certificat appelée "Application Policies" (en anglais : "Politiques d'application"), qui contient également une liste très similaire à l'extension Extended Key Usages.

Justin Bollinger de TrustedSec a découvert queque, pour les demandes de certificats hors ligne, il est contre Modèles de certificats de la version 1 du schéma est possible (comme pour la Extension Security Identifier), n'importe quel Politiques d'application dans la demande de certificat, qui sont reprises telles quelles dans le certificat délivré et peuvent ensuite être utilisées pour attaquer la structure globale d'Active Directory. L'attaque a été baptisée ESC15.

Continuer la lecture

Comment le module de politique TameMyCerts pour Active Directory Certificate Services (ADCS) peut empêcher les attaques contre le vecteur d'attaque ESC1

Les attaques contre les autorités de certification Microsoft peuvent viser à exploiter les autorisations sur les modèles de certificats. Dans de nombreux cas, les modèles de certificats doivent être configurés de manière à permettre au demandeur de demander n'importe quelle identité. Cela peut conduire à l'usurpation d'identité de comptes Active Directory et, par conséquent, à l'augmentation des droits par l'attaquant. Les attaques de ce type sont connues dans le milieu de la sécurité sous le nom d'"attaques par déni de service".ESC1".

Continuer la lecture

Comment le module de politique TameMyCerts pour Active Directory Certificate Services (ADCS) peut détecter et prévenir les attaques contre les vecteurs d'attaque ESC6 et ESC7

Dans l'intention prétendument bonne de rendre ainsi possible la délivrance de telles exigences de certificat avec un SAN, deviner malheureusement beaucoup sur beaucoup de Instructions de l'autorité de certification, le drapeau EDITF_ATTRIBUTESUBJECTALTNAME2 activer.

Si l'on active ce drapeau, une très grande surface d'attaque est offerte, car tout demandeur peut désormais ordonner à l'autorité de certification d'émettre des certificats avec n'importe quel contenu. Ce type d'attaque est connu dans le milieu de la sécurité sous le nom de ESC6 et ESC7 connu.

Continuer la lecture

Comment le module de politique TameMyCerts pour Active Directory Certificate Services (ADCS) peut aider à sécuriser des scénarios avec Microsoft Intune et d'autres systèmes de gestion des dispositifs mobiles (MDM)

Les entreprises utilisent Gestion des dispositifs mobiles (MDM) Produits permettant de gérer, de configurer et de mettre à jour des appareils mobiles tels que des smartphones, des tablettes ou des systèmes de bureau via Internet (Over-the-Air, OTA).

Les produits de gestion des dispositifs mobiles les plus courants sont :

Microsoft Intune
VMware Workspace One (précédemment connu sous le nom de marque AirWatch)
Ivanti MobileIron UEM
Jamf Pro
Gestion de la mobilité d'entreprise Baramundi
BlackBerry Enterprise Mobility Suite
Sophos Mobile Control
SOTI MobiControl
Samsung Knox
IBM MaaS360

Continuer la lecture

Comment le module de politique de TameMyCerts pour Active Directory Certificate Services (ADCS) peut aider à établir des processus de signature numérique dans l'entreprise

De nombreuses entreprises souhaitent aujourd'hui miser sur des processus sans papier afin d'accélérer les processus internes d'approbation et de signature. À l'heure où la plupart des employés travaillent à domicile, cette question a encore gagné en importance.

Bien que l'autorité de certification Microsoft soit en mesure de mettre en œuvre des processus automatiques d'émission de certificats, leurs possibilités d'influencer le contenu du certificat sont fortement limitées.

Le module TameMyCerts Policy pour Microsoft Active Directory Certificate Services (AD CS) permet de définir des règles de sécurité avancées. Règles pour le Subject Distinguished Name et aussi le Sujet Nom alternatif des certificats délivrés.

Continuer la lecture

Comment le module TameMyCerts Policy pour Active Directory Certificate Services (ADCS) peut réparer les demandes de certificats entrantes afin de les rendre conformes aux RFC

En commençant par la version 58, Google a décidé supprimer la prise en charge du Subject Distinguished Name des certificats de serveur web dans le navigateur Chrome et de n'accepter à la place que des certificats avec Subject Alternative Name.

Depuis ce moment, les certificats de serveur web sans Subject Alternative Name sont présentés sous la forme d'un dNSName de Google Chrome et d'autres Chromium(c'est-à-dire également les navigateurs Microsoft Edge) a été rejetée. D'autres fabricants de navigateurs ont rapidement adopté cette approche, de sorte que ce problème concerne désormais tous les navigateurs courants.

Continuer la lecture

Ajouter automatiquement des noms DNS dans le Subject Alternate Name (SAN) des certificats émis - avec le module TameMyCerts Policy pour Microsoft Active Directory Certificate Services (ADCS)

Google est très actif avec le projet Chromium et les produits basés sur ce dernier, tels que Google Chrome et Microsoft Edge ont commencé à appliquer la loi sur la protection des données adoptée en 2000. RFC 2818 et de ne plus faire confiance aux certificats qui ne remplissent plus cette condition.

Pour nous, la phrase suivante est d'une grande acuité :

Si une extension subjectAltName de type dNSName est présente, elle DOIT être utilisée comme identité. Sinon, le champ Nom commun (le plus spécifique) dans le champ Sujet du certificat DOIT être utilisé. Bien que l'utilisation du nom commun soit une pratique existante, elle est dépréciée et les autorités de certification sont encouragées à utiliser le dNSName à la place.
https://tools.ietf.org/html/rfc2818

Continuer la lecture

Modifier le Subject Alternative Name (SAN) d'un certificat avant son émission - mais en toute sécurité !

En réseau circulent malheureusement beaucoup sur beaucoup de Instructions (même les grands acteurs n'en sont pas excluspas même Microsoft lui-même ou le Grand Maître Komar), qui recommandent fatalement que le drapeau EDITF_ATTRIBUTESUBJECTALTNAME2 sur l'autorité de certification - soi-disant pour être en mesure d'émettre des certificats avec l'extension Subject Alternative Name (SAN) pour les demandes de certificats faites manuellement.

Malheureusement, cette approche n'est pas seulement inutile, elle a aussi quelques effets secondaires désagréables, qui peuvent, dans le pire des cas, permettre à un attaquant de prendre le contrôle de l'ensemble de la structure Active Directory..

Continuer la lecture

Principes de base : listes de blocage du delta

Pour pouvoir retirer les certificats émis avant la fin de leur durée de validité, on utilise des listes de révocation de certificats (en anglais "Certificate Revocation List", CRL).

Il s'agit d'une liste signée des numéros de série des certificats qui ont été révoqués par l'autorité de certification. La liste de révocation a une date d'expiration (généralement courte de quelques jours) et est réémise et signée à intervalles réguliers par l'autorité de certification correspondante.

Les listes de révocation de certificats peuvent atteindre une taille considérable si le volume de certificats révoqués est important (en règle générale, on peut compter environ 5 mégaoctets pour 100 000 entrées). Le téléchargement régulier de grandes listes de révocation de certificats par les abonnés peut générer une charge importante sur le réseau. Pour répondre à ce problème, il existe le concept des listes de blocage delta.

Continuer la lecture

Français