Jul 02 2024
0

Para remediar las vulnerabilidades ESC1 y ESC4 en las plantillas de certificados de Active Directory Certificate Services (AD CS), sigue estos pasos detallados:

Identificación de Plantillas Vulnerables

Primero, utiliza la herramienta Certipy para identificar las plantillas de certificados vulnerables.

Esta herramienta se encuentra en:

https://github.com/ly4k/Certipy

certipy find -vulnerable -dc-ip -u -p <CONTRASEÑA>

Remediación de Vulnerabilidades ESC1

Características de una Plantilla Vulnerable a ESC1

Una plantilla de certificado vulnerable a ESC1 generalmente tiene las siguientes características:

  • Derechos de inscripción asignados a usuarios de dominio.
  • El campo "Enrollee Supplies Subject" está habilitado.
  • Uso de clave extendido (EKU) incluye "Client Authentication".
  • No requiere aprobación del administrador.

Pasos para Remediar ESC1

  1. Accede a la Consola de la Autoridad de Certificación (CA):

    • Abre la consola de "Certificate Authority" en tu servidor de CA.

  2. Modifica la Plantilla Vulnerable:

    • Navega a "Certificate Templates" y selecciona la plantilla vulnerable.
    • Haz clic derecho y selecciona "Properties".

  3. Deshabilita "Enrollee Supplies Subject":

    • En la pestaña "Subject Name", selecciona "Build from this Active Directory information" en lugar de "Supply in the request".

  4. Requiere Aprobación del Administrador:

    • En la pestaña "Issuance Requirements", marca la opción "CA certificate manager approval".

  5. Restricción de Derechos:

    • En la pestaña "Security", asegúrate de que solo los usuarios necesarios tengan permisos de inscripción y elimina cualquier permiso excesivo.

Remediación de Vulnerabilidades ESC4

Características de una Plantilla Vulnerable a ESC4

Una plantilla vulnerable a ESC4 permite a usuarios no administradores modificar propiedades críticas de la plantilla, como:

  • WriteDacl
  • WriteOwner
  • WriteProperty

Pasos para Remediar ESC4

  1. Identifica Plantillas con ACLs Débiles:

    • Usa Certipy para encontrar plantillas con ACLs débiles.

    certipy find -vulnerable -dc-ip -u -p <CONTRASEÑA>

  2. Modifica los Permisos de la Plantilla:

    • En la consola de "Certificate Authority", selecciona la plantilla vulnerable.
    • Haz clic derecho y selecciona "Properties".
    • En la pestaña "Security", revisa y ajusta los permisos para asegurarte de que solo los administradores tengan permisos de modificación.

  3. Requiere Aprobación del Administrador:

    • En la pestaña "Issuance Requirements", marca la opción "CA certificate manager approval".

  4. Deshabilita "Enrollee Supplies Subject":

    • En la pestaña "Subject Name", selecciona "Build from this Active Directory information".

Verificación y Auditoría

Después de realizar los cambios, es importante verificar que las plantillas ya no son vulnerables y realizar auditorías periódicas.

certipy find -vulnerable -dc-ip -u -p <CONTRASEÑA>

Comandos Adicionales

Eliminar Caché de CRL

certutil -urlcache * delete
certutil –setreg chain\ChainCacheResyncFiletime @now

Revocar Certificados Emitidos

certutil -revoke

Reemplazar Certificados

Asegúrate de reemplazar los certificados emitidos basados en plantillas vulnerables con nuevos certificados seguros.

Siguiendo estos pasos, podrás mitigar las vulnerabilidades ESC1 y ESC4 en tus plantillas de certificados de Active Directory, asegurando una infraestructura más segura.

Publicado enBlog
EtiquetasDirectorio Activo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *