Cet article publié par Black Hills InfoSec fournit un guide complet pour les équipes de sécurité opérationnelle sur la détection des attaques d’escalade de privilèges ADCS.
L’article met en avant l’importance de la configuration adéquate des journaux et de la création d’alertes pour détecter les attaques d’escalade de privilèges via ADCS (Active Directory Certificate Services). Il explique comment activer l’audit ADCS, créer des requêtes de détection dans Microsoft Sentinel en utilisant KQL, et configurer des alertes automatisées pour les techniques d’exploitation ESC1 et autres.
Le contenu technique inclut des étapes détaillées pour la mise en œuvre de la détection des attaques ADCS, comme l’activation de l’audit via l’utilitaire certsrv, la création de requêtes KQL pour identifier les champs demandeur et UPN dépareillés dans les événements de sécurité 4886/4887, et la configuration de règles d’alerte Sentinel avec des intervalles de 5 minutes. Il aborde également la surveillance des événements de modification des modèles de certificats 4900/4899.
L’article couvre également la détection de la récente mise à jour de Microsoft à travers les événements 39/41 lorsque des discordances SID se produisent lors des demandes de certificats.
Ce guide est une publication de recherche technique visant à améliorer la sécurité des infrastructures utilisant ADCS en fournissant des outils et des méthodes pour détecter et prévenir les abus de certificats.
🔗 Source originale : https://www.blackhillsinfosec.com/detecting-adcs-privilege-escalation/