KI Hinweis: Alle Zusammenfassungen wurden automatisch per KI erstellt und können Ungenauigkeiten enthalten.
← Zurück 14:00 – 14:30 (30 Min.) · Breakout-Room 2 · Vortrag auf einer Themenbühne (Technical Deep Dive)
Security

Certified Pre-Owned - AS CS Live Hack

Active Directory Certificate Services (AD CS) sind in fast jeder IT-Umgebung im Einsatz – und oft ein unterschätztes Risiko. Das Whitepaper „Certified Pre-Owned“ deckt kritische Schwachstellen auf, mit denen Angreifer in kürzester Zeit vom unprivilegierten Nutzer zum Domänenadministrator gelangen können. Wie solche Angriffe im Pentest aussehen und welche Sofortmaßnahmen wirksam schützen, zeigt Manuel Mehltretter von Bechtle Bodensee mit einem Live‑Hack.

Manuel Mehltretter

Manuel Mehltretter

Security Consultant

Wichtigste Erkenntnisse

5 Punkte

01

Durch wenige Fehlkonfigurationen in AD CS kann aus einem normalen Nutzer ein Domain-Administrator werden.

02

Die meistgenutzten Schwachstellen betreffen Certificate Templates und Berechtigungen zum Setzen des SAN.

03

NTLM-Relaying über die Web-Enrollment-Schnittstelle benötigt kein klassisches Fehlkonfigurationsszenario.

04

Microsoft patched einige Schwachstellen (wie Coercing) nicht, da dies einen Breaking Change darstellen würde.

05

Gegenmaßnahmen wie Manager Approval, Abschalten der Web-Enrollment-Schnittstelle und Netzwerksegmentierung können das Risiko erheblich senken.

Kurzfassung

Manuel Mildreder, Security Consultant bei Bechtle, erläutert in einem praxisnahen Vortrag drei typische Schwachstellen der Microsoft Windows-Zertifizierungsstelle (Active Directory Certificate Services, AD CS), die häufig in Unternehmen zu einer Kompromittierung der gesamten Windows-Domäne führen können. Er erklärt Schritt für Schritt, wie bereits ein normaler Benutzer durch Fehlkonfigurationen in der PKI/Vorlagenstruktur zum Domain-Administrator werden kann. Besonders problematisch seien fehlerhafte Berechtigungen bei Certificate Templates, die Möglichkeit NTLM-Relaying über die Web-Enrollment-Schnittstelle und das sogenannte Coercing, welche auch ohne klassische Fehlkonfigurationen gravierende Folgen haben können. Abschließend gibt er Hinweise zu Gegenmaßnahmen und verweist auf sein Angebot zur Prüfung und Schulung.

Langfassung

Der Vortrag von Manuel Mildreder thematisiert die Risiken und Angriffsvektoren, die sich aus Fehlkonfigurationen und bekannten Schwachstellen der Active Directory Certificate Services (AD CS) ergeben. Nach einer kurzen Einführung zur Rolle der PKI (Public Key Infrastructure) und der Windows-Zertifizierungsstelle zeigt er, dass das Produkt heutzutage immer noch im Einsatz ist und für Angreifer ein lohnendes Ziel darstellt.

Der Kern des Vortrags sind drei häufige Schwachstellen:

1. Fehlkonfigurierte Certificate Templates: Wenn bei einer Vorlage die Option besteht, den Subject Alternative Name (SAN) selbst anzugeben, und kein Manager Approval erforderlich ist, kann jeder berechtigte Benutzer Zertifikate mit beliebigen Identitäten beantragen. Dadurch ist es möglich, sich beispielsweise als Domain-Administrator auszugeben und entsprechende Rechte zu erhalten.

2. Angriff über Computerkonten: Angreifer können sich Zertifikate für Computerkonten besorgen, sofern sie lokaler Administrator auf einem Rechner sind. Mit speziellen Tools und Kenntnis der SID des Zielobjekts führen sie Angriffe wie DC-Sync aus und stehlen so Passwort-Hashes.

3. NTLM-Relaying und Coercing: Die Web-Enrollment-Schnittstelle von AD CS ermöglicht es Angreifern, Anmeldungen über NTLM-Relaying weiterzuleiten und damit Zertifikate zu erschleichen. Durch Coercing kann sogar gezielt ein Domain-Controller dazu gebracht werden, seine Anmeldedaten preiszugeben. Diese Lücke ist Microsoft bekannt (ESC8), bleibt aber ungepatcht, da sie als "mitigierbar" gilt.

Mildreder betont die Wichtigkeit, Berechtigungen korrekt zu setzen, Manager Approvals zu aktivieren, und die Web-Enrollment-Schnittstelle stillzulegen. Zudem empfiehlt er eine Netzwerksegmentierung zwischen Clients und Domain-Controllern, um Angriffe zu erschweren. Als Unterstützung bietet er eine Eintagesschulung sowie einen Workshop zur Überprüfung der eigenen Umgebung an und verweist auf die Community und den "Certified Pre-Owned"-Blogartikel als weitere Ressource.

Microsofts Weigerung, z. B. die Coercing-Schwachstelle zu patchen, erklärt er mit der Komplexität und Kompatibilität bestehender Infrastrukturen, jedoch seien die Risiken durch entsprechende Segmentierung und Konfiguration beherrschbar.

Wir sehen dieses Thema in 3,5 bis 4 von 5 Pentests und da macht uns das zum Domain-Administrator von einem normalen Benutzer, bevor die erste Kaffeetasse leer ist.

— Mildreder beschreibt die Häufigkeit und Brisanz der Schwachstellen in Penetration-Tests.

Die Web-Enrollment-Schnittstelle ist kaputt. Es gibt kein anderes Wort dafür.

— Er bringt auf den Punkt, wie fatal die Schwachstelle im Web-Enrollment-Service ist.

Das ist wirklich, wirklich, wirklich kaputt und das erfordert keine Fehlkonfiguration, das erfordert einzig und allein, dass die Web-In-Room-Schnittstelle installiert wurde.

— Betonung, dass allein die Anwesenheit der Web-Enrollment-Schnittstelle für große Gefahr sorgt.

Das rettet Leben. Prüfen Sie bitte, bitte die Berechtigungen auf den Zertifikatsvorlagen.

— Appell, grundlegende Kontrollen und Prüfungen vorzunehmen.

Drei Wege zum Domainatmen, bevor die erste Kaffeetasse leer ist.

Schlüsselwörter

Active Directory SecurityZertifizierungsstelleCertificate TemplateNTLM-RelayingWeb-Enrollment

Produkte / Programme

Microsoft Active Directory Certificate Services (AD CS)Microsoft Server 2025CertifyADNetExecLDAPKerberosCertified Pre-OwnedBechtle

Genannte Personen

Manuel MildrederFrau Merkel