Étiquette : PSCertificateEnrollment

Attaque contre Active Directory via Microsoft Intune - et comment l'endiguer avec TameMyCerts

Dirk-jan Mollema a récemment présenté une attaque permettant d'obtenir un certificat pour des comptes hautement privilégiés via Intune.. Celui-ci peut ensuite être utilisé pour compromettre l'ensemble de l'environnement Active Directory.

L'attaque est comparable dans ses grandes lignes à ce que j'ai déjà décrit dans l'article "De zéro à Enterprise Administrator grâce au service d'enregistrement des périphériques réseau (NDES) - et ce qui peut être fait à ce sujet" et dans l'article "Vecteur d'attaque sur le service d'annuaire Active Directory via le mécanisme de connexion par carte à puce"(également connu sous le nom de ESC1).

La nouveauté consiste toutefois à exploiter le système de gestion des appareils mobiles (MDM) - en l'occurrence Microsoft Intune - de manière appropriée.

Ce qui n'est pas nouveau en revanche, c'est ce qui peut être fait contre cela avec le module de politique TameMyCerts pour les Active Directory Certificate Services afin de réduire drastiquement la surface d'attaque...

Continuer la lecture de « Angriff auf das Active Directory über Microsoft Intune – und wie er mit TameMyCerts eingedämmt werden kann »

Combien de noms alternatifs (Subject Alternative Name, SAN) sont pris en charge par Active Directory Certificate Services ?

Comme tout logiciel les services de certificats Microsoft Active Directory sont également soumis à certaines limitesLes produits de la marque sont soumis à des contraintes imposées par leur conception.

Il n'est pas aussi évident de répondre à la question de savoir combien de Noms alternatifs des demandeurs (Subject Alternative Name, SAN) être délivrés avec l'autorité de certification Microsoft.

L'IETF RFC 5280 décrit la structure pour les Subject Alternative Names comme suit :

SubjectAltName ::= GeneralNames
Continuer la lecture de « Wie viele Alternative Antragstellernamen (engl. Subject Alternative Name, SAN) unterstützen die Active Directory Certificate Services? »

Nouvelle faille de sécurité ESC15 découverte dans Active Directory Certificate Services - contre-mesures faciles à mettre en œuvre

Les extensions de certificat "Key Usage" et "Extended Key Usage" permettent de déterminer à quelles fins un certificat numérique peut être utilisé. Dans l'extension de certificat "Extended Key Usage", les des utilisations de clés étendues pour lesquels le certificat peut être utilisé.

Il existe toutefois, pour les certificats émis par une autorité de certification Microsoft, une autre extension de certificat appelée "Application Policies" (en anglais : "Politiques d'application"), qui contient également une liste très similaire à l'extension Extended Key Usages.

Justin Bollinger de TrustedSec a découvert queque, pour les demandes de certificats hors ligne, il est contre Modèles de certificats de la version 1 du schéma est possible (comme pour la Extension Security Identifier), n'importe quel Politiques d'application dans la demande de certificat, qui sont reprises telles quelles dans le certificat délivré et peuvent ensuite être utilisées pour attaquer la structure globale d'Active Directory. L'attaque a été baptisée ESC15.

Continuer la lecture de « Neue Sicherheitslücke ESC15 in Active Directory Certificate Services entdeckt – einfach umzusetzende Gegenmaßnahmen »

Codage des caractères dans le Subject Distinguished Name des demandes de certificat et des certificats délivrés

Habituellement, le codage des caractères et des chaînes de caractères dans les certificats n'est pas un sujet qui intéresse beaucoup les utilisateurs d'une PKI. Il existe cependant des cas où les paramètres par défaut de l'autorité de certification ne donnent pas les résultats escomptés.

Continuer la lecture de « Zeichenkodierung im Subject Distinguished Name von Zertifikatanforderungen und ausgestellten Zertifikaten »

Désactiver NTLM et forcer Kerberos sur la page web d'administration du service d'enregistrement des périphériques réseau (NDES)

De nombreuses entreprises ont pour stratégie de désactiver (autant que possible) le protocole d'authentification NT LAN Manager (NTLM) dans leurs réseaux.

Cela est également possible pour la page web d'administration du service d'enregistrement des périphériques réseau (NDES). La mise en œuvre exacte et les modifications éventuelles du comportement des applications sont expliquées ci-dessous.

Continuer la lecture de « Deaktivieren von NTLM und erzwingen von Kerberos an der Administrations-Webseite des Registrierungsdienstes für Netzwerkgeräte (NDES) »

L'algorithme de la clé des demandes de certificat n'est pas vérifié par le module Policy de l'autorité de certification.

Supposons le scénario suivant :

  • Es ist eine Zertifikatvorlage für die Verwendung von auf elliptischen Kurven basierenden Schlüsseln konfiguriert (z.B. ECDSA_P256).
  • Als Folge dessen ist eine Mindest-Schlüssellänge von 256 Bit konfiguriert.
  • Es werden dennoch auch Zertifikatanforderungen, die andere ECC-Kurven oder RSA-basierte Schlüssel verwenden, signiert.
Continuer la lecture de « Der Schlüsselalgorithmus von Zertifikatanforderungen wird vom Policy Modul der Zertifizierungsstelle nicht überprüft »

Von Null auf Enterprise Administrator durch den Registrierungsdienst für Netzwerkgeräte (NDES) – und was dagegen getan werden kann

Nachfolgend möchte ich eine der breiten Öffentlichkeit vielleicht nicht unbedingt bekannte hochgefährliche PKI-Konfiguration vorstellen, die so in Unternehmensnetzwerken wahrscheinlich recht häufig angetroffen werden kann.

Ich zeige auf, wie durch Ausnutzung verschiedener unglücklicher Umstände in der Windows-PKI eine Erhöhung von Rechten, ausgehend von bloßem Netzwerkzugang bis hin zur vollständigen Übernahme des Active Directory möglich ist.

Der initiale Angriffspunkt ist in diesem Beispiel der Registrierungsdienst für Netzwerkgeräte (NDES).

Continuer la lecture de « Von Null auf Enterprise Administrator durch den Registrierungsdienst für Netzwerkgeräte (NDES) – und was dagegen getan werden kann »

Principes de base : contrainte de longueur de chemin (Path Length Constraint)

L'attaque de l'algorithme de signature MD5 présentée fin 2008 n'a pu être utilisé pour créer un faux certificat d'autorité de certification utilisable que parce que l'autorité de certification attaquée n'avait pas configuré de limitation de la longueur du chemin.

La limitation de la longueur du chemin est indiquée dans le RFC 5280 est décrite. L'idée est de définir la profondeur maximale de la hiérarchie des autorités de certification dans l'extension „Basic Constraints“ d'un certificat d'autorité de certification.

Continuer la lecture de « Grundlagen: Einschränkung der Pfadlänge (Path Length Constraint) »

Demande manuelle d'un certificat de serveur web

Dans certains cas, il n'est pas possible ou souhaitable d'obtenir des certificats de serveur web directement auprès d'une autorité de certification de sa propre structure globale Active Directory via la Microsoft Management Console, par exemple lorsque le système concerné n'est pas membre du domaine.

Dans ce cas, il n'est pas possible d'utiliser des modèles de certificats et il faut créer manuellement une demande de certificat (Certificate Signing Request, CSR).

Continuer la lecture de « Manuelle Beantragung eines Webserver-Zertifikats »

Demander un certificat protégé par un Trusted Platform Module (TPM) - sans posséder de TPM

Depuis Windows 8, c'est possible, que les clés privées des certificats soient protégées par un module de plate-forme de confiance (TPM), si celui-ci est disponible. De ce fait, la clé n'est pas exportable - même avec des outils comme mimikatz.

Au premier coup d'œil, il n'est toutefois pas évident de garantir l'utilisation d'un TPM. Il est vrai que pas de demande possible via la Microsoft Management Console ou AutoEnrollment si l'ordinateur ne dispose pas de TPM.

Toutefois, la configuration dans le modèle de certificat n'est qu'une configuration par défaut pour le client. Lors de la demande, l'autorité de certification ne vérifiera pas explicitement si un module Trusted Platform a vraiment été utilisé.

Ainsi, si la demande de certificat est effectuée en dehors de la MMC, n'importe quel paramètre peut être utilisé pour la clé privée.

Continuer la lecture de « Beantragen eines durch ein Trusted Platform Modul (TPM) geschütztes Zertifikat – ohne ein TPM zu besitzen »

Signer des certificats en contournant l'autorité de certification

Dans les discussions sur la sécurité d'une autorité de certification, on entend régulièrement qu'un abus de l'autorité de certification pourrait être endigué par ses paramètres de sécurité.

Il n'est toutefois pas évident à première vue que l'intégrité d'une autorité de certification soit directement liée à son matériel de clé et qu'elle puisse donc être compromise par ce dernier.

Il faut se représenter le logiciel d'autorité de certification comme une sorte de gestion autour du matériel clé. Le logiciel offre par exemple une Interface en ligne pour la demande de certificat s'occupe de l'authentification des demandeurs, de l'exécution automatisée des opérations de signature (délivrance de certificats et de Listes de blocage) et leur enregistrement (Base de données des organismes de certification, Protocole d'audit, Journal des événements).

Or, les opérations de signature ne nécessitent rien d'autre que la clé privée de l'autorité de certification. L'exemple suivant montre comment un attaquant peut, s'il a accès à la clé privée de l'autorité de certification, générer et émettre des certificats sans que le logiciel de l'autorité de certification et ses mécanismes de sécurité ne le sachent.

Avec un tel certificat, ce serait même possible dans le pire des cas, de reprendre la structure globale d'Active Directory sans être détecté.

Continuer la lecture de « Signieren von Zertifikaten unter Umgehung der Zertifizierungsstelle »

Demande de certificat pour les systèmes Windows via le service d'enregistrement des périphériques réseau (NDES) avec Windows PowerShell

Si l'on souhaite équiper de certificats des systèmes Windows qui n'ont pas la possibilité de communiquer directement avec une autorité de certification intégrée à Active Directory ou qui ne se trouvent pas du tout dans la même structure globale d'Active Directory, il ne reste dans la plupart des cas que l'installation manuelle des certificats.

Depuis Windows 8.1 / Windows Server 2012 R2, un client intégré pour le Simple Certificate Enrollment Protocoll (SCEP) se trouve toutefois à bord. Côté serveur, SCEP est géré par le Service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) mis en œuvre dans l'infrastructure à clés publiques de Microsoft depuis Windows Server 2003.

Une caractéristique particulièrement intéressante de SCEP est que le protocole permet de renouveler un certificat en indiquant un certificat déjà existant. Quoi de plus logique donc que d'utiliser cette interface ? Ce qui manque encore, c'est une automatisation correspondante via Windows PowerShell.

Continuer la lecture de « Zertifikatbeantragung für Windows-Systeme über den Registrierungsdienst für Netzwerkgeräte (NDES) mit Windows PowerShell »

Authentification au service d'enregistrement des périphériques réseau (NDES) avec un certificat existant (mode renouvellement)

Le service d'enregistrement des équipements de réseau (NDES) dispose de la possibilité de s'authentifier avec un certificat déjà émis afin de demander à nouveau un certificat au contenu identique. Ceci est très pratique pour les opérations de renouvellement, car il n'est ainsi plus nécessaire de demander au préalable un mot de passe à usage unique.

Continuer la lecture de « Authentifizierung am Registrierungsdienst für Netzwerkgeräte (NDES) mit einem existierenden Zertifikat (Renewal-Modus) »

Demande manuelle de certificat de contrôleur de domaine

Dans certains cas, il n'est pas possible ou souhaitable d'obtenir des certificats de contrôleur de domaine auprès d'une autorité de certification de sa propre structure globale Active Directory.

Dans ce cas, l'utilisation de modèles de certificats n'est pas possible et il faut créer manuellement une demande de certificat (Certificate Signing Request, CSR).

Continuer la lecture de « Manuelle Beantragung eines Domänencontroller-Zertifikats »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais