Flera säkerhetsexperter har oberoende av varandra publicerat tidigare okända attacker på Active Directory genom de integrerade certifikattjänsterna (AD CS). Flera av de uppmärksammande attackerna leder till att angriparen får full kontroll över domänen, vilket i många organisationer är en katastrofal händelse som resulterar i höga kostnader. Andra tekniker som uppmärksammats ger angripare nya metoder att utnyttja redan kända brister i Active Directory.
- Se över behörigheter och konfiguration av certifikat-mallar.
- Lås ner certifikat-servrar och möjliggör endast administrativ åtkomst av domän-administratörer.
- Säkra upp webbtjänster för certifikatutfärdande.
- - Aktivera TLS för webbservrar.
- - Aktivera Extended Protection for Authentication.
- - Tillåt endast Kerberos-inloggning (inte NTLM).
- Larmsätt certifikatförfrågningar med avvikande attribut.
- Skapa rapporter med historiska förfrågningar med avvikande attribut.
- Deaktivera Print Spooler-tjänsten på domänkontrollanter (vilket det finns andra anledningar till att göra).
- Microsoft ADCS – Abusing PKI in Active Directory Environment by RiskInsight
https://www.riskinsight-wavestone.com/en/2021/06/microsoft-adcs-abusing-pki-in-active-directory-environment/ - Certified Pre-Owned. Active Directory Certificate Services by SpecterOps
https://posts.specterops.io/certified-pre-owned-d95910965cd2