Beveiligingsevaluatie: Certificaatinschrijving voorkomen met willekeurig toepassingsbeleid (ESC15)

In dit artikel wordt het evaluatierapport van Microsoft Defender for Identity Certificaatinschrijving met willekeurig toepassingsbeleid (ESC15) beschreven.

Waarom is het belangrijk om de certificaatsjablonen te controleren?

Deze aanbeveling heeft rechtstreeks betrekking op de onlangs gepubliceerde CVE-2024-49019, waarin de beveiligingsrisico's van kwetsbare AD CS-configuraties worden benadrukt. In deze evaluatie van de beveiligingspostuur worden alle kwetsbare certificaatsjablonen vermeld die zijn gevonden in klantomgevingen vanwege niet-gepatchte AD CS-servers.

Met certificaatsjablonen die kwetsbaar zijn voor CVE-2024-49019 kan een aanvaller een certificaat uitgeven met willekeurig toepassingsbeleid en alternatieve onderwerpnaam. Het certificaat kan worden gebruikt om bevoegdheden te escaleren, mogelijk als gevolg van volledige domeininbreuk. 

Deze certificaatsjablonen stellen organisaties bloot aan aanzienlijke risico's, omdat aanvallers certificaten kunnen uitgeven met willekeurig toepassingsbeleid en alternatieve onderwerpnamen (SAN's). Dergelijke certificaten kunnen worden misbruikt om bevoegdheden te escaleren en mogelijk het hele domein in gevaar te komen. Met deze beveiligingsproblemen kunnen niet-bevoegde gebruikers certificaten uitgeven die zich kunnen verifiëren als accounts met hoge bevoegdheden, wat een ernstige beveiligingsrisico vormt.

Vereisten

Deze evaluatie is alleen beschikbaar voor klanten die een sensor op een AD CS-server hebben geïnstalleerd. Zie Nieuw sensortype voor Active Directory Certificate Services (AD CS) voor meer informatie.

Hoe kan ik deze beveiligingsevaluatie gebruiken om de beveiligingsstatus van mijn organisatie te verbeteren?

1. Bekijk de aanbevolen actie op Certificaatinschrijving voorkomen met willekeurig toepassingsbeleid (ESC15).

2. Identificeer de kwetsbare certificaatsjablonen:

   • Verwijder de inschrijvingsmachtiging voor onbevoegde gebruikers.
   • Schakel de optie 'Opgeven in de aanvraag' uit.

3. Identificeer de AD CS-servers die kwetsbaar zijn voor CVE-2024-49019 en pas de relevante patch toe.

   Bijvoorbeeld:

   

Volgende stappen

• Meer informatie over Microsoft Secure Score

• Bekijk het Defender for Identity-forum.