יועץ אבטחת מידע   |   יוני 10, 2025

פרצה שקטה, שליטה מוחלטת: כך ניצלנו את ESC8 ב־ADCS והשתלטנו על הרשת הארגונית

האם אתם מודעים לסיכון שבשירות ADCS? כיצד פרצת ESC8 מאפשרת לתוקפים שליטה מלאה על הרשת הארגונית, ומה אתם יכולים לעשות כדי למנוע זאת – במאמר זה.

הסיכון הפנימי המוסתר: חשיפת פגיעות בשירות ADCS במבדק חדירה ארגוני

כיצד שרת תעודות ברירת מחדל בארגון עלול להעניק לתוקף שליטה מלאה על הדומיין

במסגרת סקר סיכונים שנערך לאחד מלקוחותינו, הצוות הטכני שלנו ביצע מבדק חדירה פנימי מקיף לארגון. מטרת המבדק הייתה לבדוק את רמת האבטחה של מערכות הארגון ולזהות פגיעויות פוטנציאליות בשטח התקיפה הפנימי.
מה שגילינו הוא דוגמה מצוינת לסיכון הכרוך בשימוש בשירות ADCS (Active Directory Certificate Services).

מהו ADCS ולמה הוא מסוכן כל כך?

שירות קריטי עם הרשאות עצומות – אך לעיתים עם הגדרה רופפת

ADCS (Active Directory Certificate Services) הוא שירות המאפשר פעולות רבות בסביבת Active Directory באמצעות תעודות דיגיטליות. השירות מכיל תבניות של תעודות שניתן להנפיק, כאשר לכל תבנית יש הגדרות והרשאות שונות. לדוגמה, תבנית בשם "User" יכולה לאפשר למשתמש שהנפיק תעודה באמצעותה גישה לשירותים מסוימים, ואילו הנפקת תעודה באמצעות התבנית "Administrator" תהיה אפשרית רק למשתמשים עם הרשאות מנהל מערכת ותאפשר גישה למשאבים נוספים.

שרת זה לרוב משמש ליישומי LDAPS כדי להצפין את תקשורת ה־LDAP העוברת ברשת, לכן אם יישמתם LDAPS, אפשר להניח שהשרת קיים גם ברשת שלכם.
הפרצות ב־ADCS מסוכנות ביותר, מכיוון שהן מאפשרות לתוקפים לבצע הסלמת הרשאות ממשתמש דומייני פשוט למנהל מערכת דומיין, תוך שימוש בפונקציות מערכת לגיטימיות, ולכן לרוב אינן מזוהות על ידי EDR או מערכות ניטור אחרות.

שימוש בפרצת ESC8 להשתלטות על רשת הארגון

איך תכונת Web Enrollment בשירות ADCS עלולה להפוך לכניסה אחורית עבור תוקפים

אחת הפגיעויות הקריטיות שזיהינו בשרת ה־ADCS של רשת הלקוח היא ESC8 הנובעת מהגדרות ברירת מחדל או תצורות שגויות של תבניות התעודות או ה־CA(Certificate Authority). פרצה זו מאפשרת לתוקף עם הרשאות משתמש דומייני בסיסיות להנפיק תעודה לעצמו עם הרשאות מנהל מערכת, וכך לבצע הסלמת הרשאות ולגשת לנכסים קריטיים ברשת.
ESC8 מנצלת את תכונת Web Enrollment של ADCS. תכונה זו נפוצה בפריסה של ADCS ומטרתה לאפשר הנפקת תעודות באמצעות הדפדפן.
אך בפועל, דווקא שרת התעודות, שבאופן אירוני הוא זה שיוצר את תעודות ההצפנה עבור אתרי הארגון המקומיים, לרוב לא יהיה מוגן ב־HTTPS בעצמו. כך נותרנו פגיעים למתקפות NTLM Relay – סוג תקיפה שבו תוקף מעביר בקשת התחברות של משתמש אחר ברשת, ולמעשה “מתחזה” אליו. כיוון שתצורת ברירת המחדל של תבניות התעודה מאפשרת אימות לקוח או רישום תחנות בדומיין – תוקף יכול להשתמש בזה כדי להנפיק תעודה ולהשיג גישה גם לשרת ה־DC (Domain Controller) הארגוני.
במילים פשוטות – כל המכונות בדומיין עלולות להיות מטרה לתוקף.

כיצד הצלחנו להפוך ממשתמש רגיל ל־Domain Admin

שלב אחר שלב – ממניפולציית תעודה אחת לשליטה מלאה בדומיין

לאחר שהצלחנו להשיג משתמש דומייני פשוט, גרמנו לשרת ה־DC לבצע בקשת התחברות מולנו ברשת והפקנו עבורו תעודה. באמצעות תעודה זו הצלחנו לחלץ את גיבוב ה־NTLM של ה־Machine Account של שרת ה־DC אשר בעל הרשאות מנהל מערכת בדומיין ולבצע איתו מתקפת DC Sync.
מתקפת DC Sync היא שיטה שבה תוקף מצליח לגרום לשרת הדומיין (Domain Controller) ו"למסור לו" את הסיסמאות של כל המשתמשים בארגון – כולל מנהלים – כאילו היה שרת נוסף בארגון שצריך לקבל עותק מהמידע. באמצעות הסיסמאות שהתקבלו ממתקפה זו, הצלחנו לגשת לשרתי ה־DC בהרשאות Domain Admin ולפיכך קיבלנו שליטה מלאה על כל משאב ומחשב בדומיין וגישה לנכסי המידע השמורים ברשת.

תובנות מומחי סייבר בכירים של IPV Security

כדי למנוע תרחישים דומים ברשתות הארגון שלכם, אנו ממליצים לבצע את הפעולות האלה:

  1. להקשיח תבניות לתעודות – יש לוודא שכל תבניות התעודות מוגדרות בצורה מאובטחת, בייחוד אלו המאפשרות Client Authentication ו־Computer Enrollment.
  2. לאפשר EPA (Extended Protection for Authentication) – יש להפעיל את מנגנון EPA עבור שירות ה־Web Enrollment ב־ADCS כדי להקשות על מתקפות NTLM Relay.
  3. להשבית HTTP בשרתים רלוונטיים – יש להשבית גישה בפרוטוקול HTTP לשרתים שבהם פועל Web Enrollment, ולהבטיח שימוש ב־HTTPS בלבד.
  4. להשבית NTLM ב־IIS – יש להשבית תמיכה ב־NTLM על שרתי IIS שמריצים את שירות ה־Web Enrollment.
  5. להקשיח תחנות עבודה ושירותים רגישים – יש להגדיר ניטור ו־Alerting עבור הנפקת תעודות חשודות או חריגות.
  6. לערוך בדיקות אבטחה תקופתיות – יש לבצע סריקות יזומות ומבדקי חדירה לזיהוי תצורות פגיעות בשירותי ה־ADCS וברשת הארגון בכלל.

לסיכום,

הממצא שגילינו בבדיקת החדירה מדגים את הסכנות הכרוכות בשימוש בשירות ADCS בארגונים ואת הצורך הקריטי ביישום בקרת גישה חזקה ומאובטחת. ESC8 היא פרצה מסוכנת שממחישה כיצד תוקף עם גישה מינימלית יכול להפוך למנהל מערכת בארגון, בלי להפעיל תוכנות זדוניות או לנצל קוד – אלא רק דרך מניפולציה של תעודה דיגיטלית.
על ידי הקשחת ההגדרות, ניטור מדוקדק והגדרת מדיניות אבטחת מידע עדכנית – אפשר למנוע פגיעות זו ולחסום את הדרך למתקפות הרסניות מבפנים.

האם גם שרת ה־ADCS שלכם פגיע לאחת מהפגיעויות הקריטיות האלו?
במבדקי חדירה פנימיים שאנו מבצעים עבור לקוחותינו, אנו בודקים באופן ממוקד את תצורת שירותי ADCS והאם הם חשופים לפרצות כמו ESC8 – כולל בדיקות פרקטיות המדמות תוקף אמיתי ברשת הארגונית.
אל תישארו באפלה – הזמינו מבדק חדירה פנימי מקיף שיבדוק גם את רכיבי התשתית הקריטיים ביותר בארגון שלכם.

 

מעוניינים לבחון את האפשרות לביצוע סקר סיכונים? או אולי, מוכנות לאירוע כופרה!

לחצו כאן

 

להתייעצות מקצועית ניתן לפנות אלינו לאימייל info@ipvsecurity.com או במספר הטלפון
077-4447130. IPV Security מתמחה זה 20 שנה באבטחת מידע, סייבר, סקרי סיכונים
ותקנים ורגולציות הנוגעים לביטחון מידע ועוד.

חזור

פוסטים נוספים

    שם פרטי

    שם משפחה

    אימייל

    טלפון

    הודעה