Zum Inhalt

47-Tage-Zertifikate sind in Planung. Bist du bereit?

Jetzt handeln →

  1. Blogs
    2. PKI

Entschärfung der Sicherheitslücken ESC1 und ESC8 in Active Directory

Geschrieben vonAditi Goel 4 Мinuten
Entschärfung der Sicherheitslücken ESC1 und ESC8 in Active Directory
Inhaltsverzeichnis

In der heutigen digitalen Landschaft sind der Schutz sensibler Informationen und die Wahrung der Integrität von IT-Umgebungen für Unternehmen von größter Bedeutung. Microsoft Active Directory (AD) ist für viele Unternehmen eine wichtige Komponente und dient als zentrales System zur Verwaltung von Benutzeridentitäten und -berechtigungen. Wie jedes komplexe System weist auch AD jedoch Schwachstellen auf. In diesem Blogbeitrag befassen wir uns mit zwei kritischen Sicherheitsrisiken: ESC1 (Zertifikatbasierte Rechteerweiterung) und ESC8 (NTLM-Relay-Angriff über AD CS Web Enrollment). Wir untersuchen diese Schwachstellen, ihre Auswirkungen auf Ihr Unternehmen und vor allem, wie Sie sie wirksam beheben können.

ESC1 verstehen: Zertifikatbasierte Rechteerweiterung

Beschreibung der Sicherheitslücke

ESC1 ist ein Angriff zur Rechteausweitung, der sich speziell an Microsoft Active Directory-Zertifikatdienste (AD CS)Angreifer nutzen Schwachstellen in Zertifikatsvorlagen aus, um sich unbefugten Zugriff auf höhere Berechtigungen zu verschaffen und so möglicherweise die gesamte AD-Umgebung zu gefährden. Im Wesentlichen handelt es sich dabei um eine Technik, die es einem Angreifer ermöglicht, seine Berechtigungen von einem Domänenkonto auf niedriger Ebene auf Domänenadministratorzugriff auszuweiten – ein Albtraumszenario für jede Organisation.

Minderungsschritte

Um Ihre AD-Umgebung vor ESC1 zu schützen, befolgen Sie diese wichtigen Schritte zur Risikominderung:

  1. Überprüfen und Sichern von Zertifikatvorlagen

    1. Führen Sie ein umfassendes Audit durch

      Führen Sie zunächst eine gründliche Prüfung aller Ihrer Zertifikatvorlagen durch. Identifizieren Sie Vorlagen mit anfälligen Attributen.

    2. Ändern anfälliger Vorlagen

      Nehmen Sie bei Vorlagen, die als anfällig eingestuft wurden, die erforderlichen Änderungen vor, um die Sicherheit zu erhöhen. Achten Sie dabei auf die folgenden Schlüsselattribute:

      1. msPKI-Registrierungsflag

        Stellen Sie sicher, dass dieses Attribut auf „Keine“ oder 0 gesetzt ist oder erfordert CA Managergenehmigung für kritische Vorlagen.

        msPKI-Registrierungsflag

      2. Autorisierte Unterschriften erforderlich

        Legen Sie die erforderliche Anzahl autorisierter Signaturen basierend auf den Richtlinien Ihrer Organisation fest.

        Autorisierte Unterschriften erforderlich

      3. PKI-erweiterte-Schlüsselverwendung

        Überprüfen Sie die Verwendung des Zertifikats und beschränken Sie sie auf die notwendigen Zwecke.

        PKI-erweiterte-Schlüsselverwendung

      4. Registrierungsberechtigungen

        Schränken Sie die Berechtigungen zum Anfordern von Zertifikaten ein und vermeiden Sie zu freizügige Einstellungen wie „Jeder“ oder „Authentifizierte Benutzer“.

        Registrierungsberechtigungen

      5. Betreffinformationen in der Zertifikatsanforderung zulassen

        Konfigurieren Sie Vorlagen, um Clients die Angabe von SAN-Attributen zu ermöglichen in CSR (Anforderung zur Zertifikatsignierung).

        Betreffinformationen in der Zertifikatsanforderung zulassen

  2. Aktualisieren Sie AD CS, um KB5014754 zu berücksichtigen

    3. Stellen Sie das Update KB5014754 in Ihrer AD CS-Umgebung bereit, um die erforderlichen Sicherheitsverbesserungen zu integrieren.

Auswirkungen auf die Umwelt bei der ESC1-Minderung

Die Umsetzung dieser Maßnahmen erhöht die Sicherheit Ihrer AD CS Umgebung, erfordert jedoch möglicherweise einen gewissen Verwaltungsaufwand. Dies kann zu einem restriktiveren Prozess für die Anforderung und Ausstellung von Zertifikaten führen, was die Benutzerfreundlichkeit beeinträchtigen kann. Benutzer müssen sich möglicherweise an neue Workflows für Zertifikatsanforderungen gewöhnen. Der Kompromiss besteht jedoch in einem deutlich geringeren Risiko von Angriffen zur Rechteausweitung.

ESC8 verstehen: NTLM-Relay-Angriff über AD CS-Webregistrierung

Beschreibung der Sicherheitslücke

ESC8 zielt auf die Web-Registrierungsschnittstelle von AD CS ab und nutzt NTLM-Relay-Angriffe. Angreifer können sich mit dieser Technik als Domänencontroller authentifizieren und so möglicherweise Zugriff auf sensible Ressourcen erhalten. Dies stellt ein ernstes Sicherheitsrisiko dar, da Angreifer AD CS-Webschnittstellen nutzen können, um AD-Umgebungen zu kompromittieren.

Minderungsschritte

Um Ihr Unternehmen vor ESC8 zu schützen, befolgen Sie diese wichtigen Schritte zur Schadensbegrenzung:

  1. Sichere Web-Registrierungsschnittstellen

    1. Stellen Sie sicher, dass alle AD CS-Webschnittstellen HTTPS aktiviert. Diese Sicherheitsmaßnahme schützt vor NTLM-Relay-Angriffen, indem sie die Kommunikation zwischen Clients und den Webschnittstellen verschlüsselt.

  2. Limit-Zertifikatvorlagen

    1. Schränken Sie Zertifikatvorlagen ein, die Clientauthentifizierung und Domänencomputerregistrierung zulassen. Durch die Einschränkung des Vorlagenumfangs verringern Sie die potenzielle Angriffsfläche.

Enterprise-PKI-Dienste

Erhalten Sie umfassende End-to-End-Beratungsunterstützung für alle Ihre PKI-Anforderungen!

Mehr erfahren

Auswirkungen auf die Umwelt bei der ESC8-Minderung

Die Implementierung von HTTPS für die Web-Registrierung ist eine notwendige Sicherheitsmaßnahme, die möglicherweise die Beschaffung und Bereitstellung erfordert SSL-Zertifikate. Obwohl die Zugriffsbeschränkung auf Registrierungsendpunkte einige legitime Benutzer beeinträchtigen kann, ist es wichtig, angemessene Zugriffskontrollen sicherzustellen. Die Implementierung stärkerer Authentifizierungsmethoden kann eine Neukonfiguration oder erneute Authentifizierung des Benutzers erforderlich machen. Die daraus resultierenden Sicherheitsvorteile überwiegen die durch diese Änderungen verursachten Unannehmlichkeiten bei weitem.

Fazit

Angesichts der heutigen Bedrohungslage müssen Unternehmen Sicherheitslücken in ihrer IT-Infrastruktur proaktiv identifizieren und beheben. ESC1- und ESC8-Schwachstellen in Active Directory sind kritische Probleme, die sofortige Aufmerksamkeit erfordern.

Indem sie diese Schwachstellen verstehen, die empfohlenen Schritte zur Risikominderung befolgen und proaktive Sicherheitsmaßnahmen ergreifen, können Unternehmen das Risiko von Angriffen mit Privilegienerweiterung und NTLM-Relay-Angriffen über die AD CS-Webregistrierung erheblich reduzieren.

Die Sicherung Ihrer AD-Umgebung ist ein fortlaufender Prozess, der Wachsamkeit und kontinuierliche Überwachung erfordert. Regelmäßige Audits, Updates und die Einhaltung bewährter Methoden sind entscheidend für eine robuste Sicherheitslage. Bedenken Sie: Die Sicherheit der digitalen Assets Ihres Unternehmens ist nur so stark wie ihr schwächstes Glied. Daher ist die Behebung von Schwachstellen wie ESC1 und ESC8 ein grundlegender Aspekt für den Schutz Ihres Unternehmens.

Entdecken Sie unsere

Verwandte Blogs

Cloud-PKI – ohne Kontrollverlust

Übernehmen Sie die Kontrolle über Ihre Cloud-PKI, ohne Kompromisse bei der Sicherheit einzugehen.

19. Juni 2026
Zertifikatslebenszyklusmanagement

Einschränkungen des AWS Certificate Manager: Wo ACM für Enterprise-PKI an seine Grenzen stößt.

18. Juni 2026
PKI

Windows Server PKI & ADCS Hotfix-Referenzhandbuch

3. Juni 2026

Entdecken

Weitere Themen