_ LOG_FILES: 7 ENTRIES // ENCRYPTION: AES_256 // SEGMENT: 1
Цей сценарій описує ризики, пов'язані з некоректними правами доступу (ACL) не до самих шаблонів, а до критичних об'єктів інфраструктури PKI в Active Directory. Сюди належать об'єкти Центру сертифікації (CA), контейнери сервісів реєстрації або вузли конфігурації PKI.
ESC6 описує критичну конфігурацію на рівні всього Центру сертифікації (CA), а не окремого шаблону. Якщо на сервері ЦС увімкнено прапорець EDITF_ATTRIBUTESUBJECTALTNAME2, це дозволяє будь-якому заявнику додавати альтернативне ім'я суб'єкта (SAN) до будь-якого запиту на сертифікат, навіть якщо сам шаблон цього не дозволяє.
ESC7 — це критична вразливість, пов'язана з надмірними правами доступу безпосередньо до об'єкта Центру сертифікації (CA), а не до окремих шаблонів. Якщо звичайний користувач або група має права Manage CA (Керування ЦС) або Manage Certificates (Керування сертифікатами), він може захопити контроль над усією інфраструктурою PKI.
AD CS ESC3: Enrollment Agent Template: Розбір вектора атаки через зловживання правами «Агента реєстрації». Дізнайтеся, як за допомогою вразливого шаблону отримати сертифікат для іншого користувача та компрометувати облікові записи в домені без знання паролів.
Фокусується на шаблонах сертифікатів, які мають налаштування «Any Purpose» (Будь-яке призначення) або позбавлені конкретних розширень використання ключа (EKU). Такий сертифікат є «універсальним солдатом»: його можна використати для будь-яких цілей, включаючи автентифікацію клієнта, підпис коду або навіть як сертифікат підпорядкованого ЦС, що дозволяє обходити логічні обмеження безпеки.
Цей сценарій описує критичну вразливість, при якій шаблон сертифіката дозволяє заявнику самостійно вказувати альтернативне ім'я суб'єкта (Subject Alternative Name — SAN). Атакувальник може запросити сертифікат від імені адміністратора домену, знаючи лише його UPN, що веде до миттєвої компрометації всієї інфраструктури через автентифікацію Kerberos.
Атака ESC4 зосереджена на надлишкових правах доступу (ACL) до самих шаблонів сертифікатів. Якщо звичайний користувач має права на запис (WriteDacl або WriteOwner), він може переконфігурувати будь-який безпечний шаблон, зробивши його вразливим до атак типу ESC1, що дозволяє миттєво скомпрометувати весь домен.