Evaluación de seguridad: certificados

En este artículo se describe el informe de evaluación de la posición de seguridad de certificados de Microsoft Defender for Identity.

Aplicación del cifrado para la interfaz de inscripción de certificados RPC (ESC11)

Descripción

Servicios de certificados de Active Directory (AD CS) admite la inscripción de certificados mediante el protocolo RPC, específicamente con la interfaz MS-ICPR. En tales casos, la configuración de ca determina la configuración de seguridad de la interfaz RPC, incluido el requisito de privacidad de paquetes.

Si la IF_ENFORCEENCRYPTICERTREQUEST marca está activada, la interfaz RPC solo acepta conexiones con el RPC_C_AUTHN_LEVEL_PKT_PRIVACY nivel de autenticación. Este es el nivel de autenticación más alto y requiere que cada paquete se firme y cifre para evitar cualquier tipo de ataque de retransmisión. Esto es similar a SMB Signing en el protocolo SMB.

Si la interfaz de inscripción rpc no requiere privacidad de paquetes, se vuelve vulnerable a los ataques de retransmisión (ESC11). La IF_ENFORCEENCRYPTICERTREQUEST marca está activada de forma predeterminada, pero a menudo se desactiva para permitir a los clientes que no pueden admitir el nivel de autenticación RPC necesario, como los clientes que ejecutan Windows XP.

Implementación

1. Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para aplicar el cifrado para la inscripción de certificados RPC.

   

2. Investigue por qué se desactiva la IF_ENFORCEENCRYPTICERTREQUEST marca.

3. Asegúrese de activar la IF_ENFORCEENCRYPTICERTREQUEST marca para quitar la vulnerabilidad.

   Para activar la marca, ejecute:

   certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST
   

   Para reiniciar el servicio, ejecute:

   net stop certsvc & net start certsvc
   

Asegúrese de probar la configuración en un entorno controlado antes de activarlas en producción.

Edición de puntos de conexión de IIS de inscripción de certificados ADCS no seguros (ESC8)

Descripción

Servicios de certificados de Active Directory (AD CS) admite la inscripción de certificados a través de varios métodos y protocolos, incluida la inscripción a través de HTTP mediante el servicio de inscripción de certificados (CES) o la interfaz de inscripción web (Certsrv).

Si el punto de conexión de IIS permite la autenticación NTLM sin aplicar la firma de protocolo (HTTPS) o sin aplicar la protección ampliada para la autenticación (EPA), se vuelve vulnerable a los ataques de retransmisión NTLM (ESC8). Los ataques de retransmisión pueden dar lugar a una adquisición completa del dominio si un atacante logra sacarla correctamente.

Implementación

Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para los puntos de conexión de IIS de inscripción de certificados de AD CS no seguros.

En la evaluación se enumeran los puntos de conexión HTTP problemáticos de la organización y se proporcionan instrucciones para configurar los puntos de conexión de forma segura.

Una vez controlado, el riesgo de ataque ESC8 se mitiga, lo que reduce considerablemente la superficie expuesta a ataques.

Editar el propietario de plantillas de certificado mal configuradas (ESC4)

En este artículo se proporciona información general sobre el informe de evaluación de la posición de seguridad del propietario de plantillas de certificado mal configuradas (ESC4) de Microsoft Defender for Identity.

Descripción

Una plantilla de certificado es un objeto de Active Directory con un propietario, que controla el acceso al objeto y la capacidad de editar el objeto.

Si los permisos de propietario conceden a un grupo integrado sin privilegios permisos que permiten cambiar la configuración de la plantilla, un adversario puede introducir una configuración incorrecta de plantilla, escalar privilegios y poner en peligro todo el dominio.

Algunos ejemplos de grupos integrados sin privilegios son Usuarios autenticados, Usuarios de dominio o Todos. Algunos ejemplos de permisos que permiten los cambios de configuración de plantilla son Control total o Escritura de DACL.

Implementación

1. Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para ver un propietario de plantilla de certificado mal configurado.

   

2. Investigue por qué el propietario de la plantilla podría estar mal configurado.

3. Corrija el problema cambiando el propietario a un usuario con privilegios y supervisado.

Editar ACL de entidad de certificación mal configurada (ESC7)

Descripción

Las entidades de certificación (CA) mantienen listas de control de acceso (ACL) que describen roles y permisos para la CA. Si el control de acceso no está configurado correctamente, se podría permitir que cualquier usuario interfiera con la configuración de la entidad de certificación, eludiendo las medidas de seguridad y potencialmente poner en peligro todo el dominio.

El efecto de una ACL mal configurada varía en función del tipo de permiso aplicado. Por ejemplo:

• Si un usuario sin privilegios tiene el derecho Administrar certificados , puede aprobar solicitudes de certificado pendientes, omitiendo el requisito de aprobación del administrador .
• Con el derecho Administrar entidad de certificación, el usuario puede modificar la configuración de ca, como agregar la marca User especifica SAN (EDITF_ATTRIBUTESUBJECTALTNAME2), lo que crea una configuración incorrecta artificial que podría dar lugar posteriormente a un riesgo de dominio completo.

Requisitos previos

Esta evaluación solo está disponible para los clientes que instalaron un sensor en un servidor de AD CS.

Implementación

1. Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para ver las ACL de entidad de certificación mal configuradas. Por ejemplo:

   

2. Investigue por qué la ACL de CA está mal configurada.

3. Corrija los problemas quitando todos los permisos que conceden grupos integrados sin privilegios con permisos Administrar CA o Administrar certificados .

Editar ACL de plantillas de certificado mal configuradas (ESC4)

Descripción

Las plantillas de certificado son objetos de Active Directory con una ACL que controla el acceso al objeto. Además de determinar los permisos de inscripción, la ACL también determina los permisos para editar el propio objeto.

Si, por cualquier motivo, hay una entrada en la ACL que concede a un grupo integrado sin privilegios permisos que permiten cambios en la configuración de plantilla, un adversario puede introducir una configuración incorrecta de plantilla, escalar privilegios y poner en peligro todo el dominio.

Algunos ejemplos de grupos integrados sin privilegios son Usuarios autenticados, Usuarios de dominio o Todos. Algunos ejemplos de permisos que permiten los cambios de configuración de plantilla son Control total o Escritura de DACL.

Implementación

1. Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para obtener una ACL de plantilla de certificado mal configurada. Por ejemplo:

   

2. Investigue por qué la ACL de plantilla podría estar mal configurada.

3. Corrija el problema quitando cualquier entrada que conceda permisos de grupo sin privilegios que permitan manipular la plantilla.

4. Quite la plantilla de certificado de que cualquier entidad de certificación publique si no es necesaria.

Editar plantilla de certificado de agente de inscripción mal configurada (ESC3)

Descripción

Normalmente, los usuarios tienen un agente de inscripción que inscribe sus certificados para ellos. En circunstancias específicas, los certificados del Agente de inscripción pueden inscribir certificados para cualquier usuario apto, lo que supone un riesgo para su organización.

Cuando Microsoft Defender for Identity informes sobre plantillas de certificado del agente de inscripción que ponen en peligro su organización, las plantillas de agente de inscripción de riesgo se muestran en el panel Entidades expuestas.

Implementación

1. Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para ver las plantillas de certificado de agente de inscripción no confirmadas. Por ejemplo:

   

2. Corrija los problemas realizando al menos uno de los pasos siguientes:

   • Quite el EKU del agente de solicitud de certificado .
   • Quite los permisos de inscripción excesivamente permisivos, que permiten a cualquier usuario inscribir certificados basados en esa plantilla de certificado. Las plantillas marcadas como vulnerables por Defender for Identity tienen al menos una entrada de lista de acceso que permite la inscripción para un grupo integrado sin privilegios, lo que hace que sea aprovechable por cualquier usuario. Algunos ejemplos de grupos integrados sin privilegios son Usuarios autenticados o Todos.
   • Active el requisito de aprobación del administrador de certificados de CA.
   • Quite la plantilla de certificado de que cualquier entidad de certificación publique. Las plantillas que no se publican no se pueden solicitar y, por lo tanto, no se pueden aprovechar.
   • Use restricciones del agente de inscripción en el nivel de entidad de certificación. Por ejemplo, es posible que quiera restringir qué usuarios pueden actuar como agente de inscripción y qué plantillas se pueden solicitar.

Edición de una plantilla de certificado excesivamente permisiva con EKU con privilegios (EKU de cualquier propósito o no EKU) (ESC2)

Descripción

Los certificados digitales desempeñan un papel fundamental en el establecimiento de la confianza y la conservación de la integridad en toda una organización. Esto sucede no solo en la autenticación de dominio Kerberos, sino también en otras áreas, como la integridad del código, la integridad del servidor y las tecnologías que se basan en certificados como Servicios de federación de Active Directory (AD FS) (AD FS) e IPSec.

Cuando una plantilla de certificado no tiene EKU o tiene un EKU de cualquier propósito y es inscriptable para cualquier usuario sin privilegios, los certificados emitidos basados en esa plantilla pueden ser utilizados malintencionadamente por un adversario, lo que pone en peligro la confianza.

Aunque el certificado no se puede usar para suplantar la autenticación de usuario, pone en peligro otros componentes que liberan certificados digitales para su modelo de confianza. Los adversarios pueden crear certificados TLS y suplantar cualquier sitio web.

Implementación

1. Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para las plantillas de certificado excesivamente permisivas con un EKU con privilegios. Por ejemplo:

   

2. Investigue por qué las plantillas tienen un EKU con privilegios.

3. Corrija el problema haciendo lo siguiente:

   • Restrinja los permisos excesivamente permisivos de la plantilla.
   • Aplique mitigaciones adicionales, como agregar requisitos de aprobación y firma del Administrador , si es posible.

Impedir la inscripción de certificados con directivas de aplicación arbitrarias (ESC15)

Descripción

Esta recomendación aborda directamente el CVE-2024-49019 publicado recientemente, que resalta los riesgos de seguridad asociados a configuraciones vulnerables de AD CS. Esta evaluación de la posición de seguridad muestra todas las plantillas de certificado vulnerables que se encuentran en entornos de cliente debido a servidores de AD CS no revisados.

Las plantillas de certificado que son vulnerables a CVE-2024-49019 permiten a un atacante emitir un certificado con directivas de aplicación arbitrarias y un nombre alternativo de firmante. El certificado se puede usar para escalar los privilegios, lo que puede dar lugar a un riesgo total del dominio. 

Estas plantillas de certificado exponen a las organizaciones a riesgos significativos, ya que permiten a los atacantes emitir certificados con directivas de aplicación arbitrarias y nombres alternativos de firmante (SAN). Estos certificados se pueden aprovechar para escalar privilegios y potencialmente poner en peligro todo el dominio. En concreto, estas vulnerabilidades permiten a los usuarios sin privilegios emitir certificados que se pueden autenticar como cuentas con privilegios elevados, lo que supone una grave amenaza de seguridad.

Implementación

1. Revise la acción recomendada en Impedir la inscripción de certificados con directivas de aplicación arbitrarias (ESC15).

2. Identifique las plantillas de certificado vulnerables:

   • Quite el permiso de inscripción para los usuarios sin privilegios.
   • Deshabilite la opción "Proporcionar en la solicitud" .

3. Identifique los servidores de AD CS que son vulnerables a CVE-2024-49019 y aplique la revisión pertinente.

   

Impedir que los usuarios soliciten un certificado válido para usuarios arbitrarios basados en la plantilla de certificado (ESC1) (versión preliminar)

Descripción

Cada certificado está asociado a una entidad a través de su campo de asunto. Sin embargo, los certificados también incluyen un campo Nombre alternativo del firmante (SAN), que permite que el certificado sea válido para varias entidades.

El campo SAN se usa normalmente para los servicios web hospedados en el mismo servidor, lo que admite el uso de un único certificado HTTPS en lugar de certificados independientes para cada servicio. Cuando el certificado específico también es válido para la autenticación, al contener un EKU adecuado, como la autenticación de cliente, se puede usar para autenticar varias cuentas diferentes.

Si una plantilla de certificado tiene activada la opción Proporcionar en la solicitud , la plantilla es vulnerable y los atacantes podrían inscribir un certificado válido para usuarios arbitrarios.

Implementación

1. Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para las solicitudes de certificado para usuarios arbitrarios. Por ejemplo:

   

2. Para corregir las solicitudes de certificado para usuarios arbitrarios, realice al menos uno de los pasos siguientes:

   • Desactive Suministro en la configuración de la solicitud .

   • Quite las EEKU que habilitan la autenticación de usuario, como la autenticación de cliente, el inicio de sesión de tarjeta inteligente, la autenticación de cliente PKINIT o cualquier propósito.

   • Quite los permisos de inscripción excesivamente permisivos, que permiten a cualquier usuario inscribir un certificado basado en esa plantilla de certificado.

     Las plantillas de certificado marcadas como vulnerables por Defender for Identity tienen al menos una entrada de lista de acceso que admite la inscripción para un grupo integrado sin privilegios, lo que hace que cualquier usuario pueda aprovecharlo. Algunos ejemplos de grupos integrados sin privilegios son Usuarios autenticados o Todos.

   • Active el requisito de aprobación del administrador de certificados de CA.

   • Quite la plantilla de certificado de que cualquier entidad de certificación publique. Las plantillas que no se publican no se pueden solicitar y, por lo tanto, no se pueden aprovechar.

Edición de la configuración de entidad de certificación vulnerable (ESC6) (versión preliminar)

Descripción

Cada certificado está asociado a una entidad a través de su campo de asunto. Sin embargo, un certificado también incluye un campo nombre alternativo de firmante (SAN), que permite que el certificado sea válido para varias entidades.

El campo SAN se usa normalmente para los servicios web hospedados en el mismo servidor, lo que admite el uso de un único certificado HTTPS en lugar de certificados independientes para cada servicio. Cuando el certificado específico también es válido para la autenticación, al contener un EKU adecuado, como la autenticación de cliente, se puede usar para autenticar varias cuentas diferentes.

Los usuarios sin privilegios que pueden especificar los usuarios en la configuración de SAN pueden provocar un riesgo inmediato y suponer un gran riesgo para su organización.

Si la marca de AD CS editflags>EDITF_ATTRIBUTESUBJECTALTNAME2 está activada, cada usuario puede especificar la configuración de SAN para su solicitud de certificado. Esto, a su vez, afecta a todas las plantillas de certificado, tanto si tienen la Supply in the request opción activada como si no.

Si hay una plantilla en la que la EDITF_ATTRIBUTESUBJECTALTNAME2 configuración está activada y la plantilla es válida para la autenticación, un atacante puede inscribir un certificado que pueda suplantar cualquier cuenta arbitraria.

Implementación

1. Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para editar la configuración de entidad de certificación vulnerable. Por ejemplo:

   

2. Investigue por qué está activada la EDITF_ATTRIBUTESUBJECTALTNAME2 configuración.

3. Desactive la configuración mediante la ejecución de:

   certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2
   

4. Reinicie el servicio ejecutando:

   net stop certsvc & net start certsvc
   

Pasos siguientes

• Más información sobre la puntuación segura de Microsoft