In den letzten Monaten haben wir bei CERTAINITY ein beunruhigendes Muster beobachtet: In fast 75 % unserer internen Pentests konnten wir Schwachstellen in den Active Directory Certificate Services (ADCS) ausnutzen und damit die gesamte Domäne übernehmen. Das Erschreckende: Viele dieser Fehler sind nicht neu. Manche Sicherheitslücken sollten eigentlich schon seit über fünf Jahren behoben sein, tauchen aber in aktuellen Umgebungen immer noch regelmäßig auf.

Was ist ADCS überhaupt?

ADCS (Active Directory Certificate Services) ist eine Microsoft-Komponente, die für die Verwaltung digitaler Zertifikate zuständig ist. Diese Zertifikate sorgen dafür, dass Computer, Benutzer und Dienste einander vertrauen können. Sie ermöglichen sichere Logins, verschlüsselte Kommunikation (z. B. HTTPS oder E-Mail-Verschlüsselung) und digitale Signaturen.

Kurz gesagt: ADCS ist das Herzstück der Vertrauensbasis in einer Windows-Umgebung.

Warum falsch konfigurierte ADCS so gefährlich sind?

Wenn ADCS-Server falsch eingerichtet sind, können Angreifer u. A:

  1. eigene Zertifikate ausstellen,
  2. sich als Administrator ausgeben,
  3. verschlüsselte Kommunikation mitlesen oder verändern,
  4. und so die komplette Kontrolle über das Active Directory erlangen. In unseren letzten Tests war genau das der Fall, und zwar bei drei von vier Unternehmen.

Typische Fehler, die wir immer wieder sehen:

  1. Falsch konfigurierte Zertifikatsvorlagen (Templates)
    → Normale Benutzer dürfen Zertifikate anfordern und dabei eine beliebige Identität angeben. So können sie sich z. B. ein Zertifikat als Domänenadministrator ausstellen lassen (ESC1).
  2. Unsichere Web-Enrollment-Server
    → Zertifikate können über Webportale beantragt werden – oft ohne HTTPS-Verschlüsselung. Dadurch sind sie anfällig für sogenannte NTLM-Relaying-Angriffe (ESC8).
  3. Fehlerhafte Berechtigungen
    → Manche Servicekonten oder Administratoren haben unnötig viel Zugriff auf die Zertifizierungsstelle.
  4. Kein Monitoring
    → Es wird nicht überwacht, wer Zertifikate anfordert oder ausstellt. Angriffe bleiben so oft unbemerkt.

Wie ein Angriff typischerweise abläuft

  1. Der Angreifer nutzt eine Template-Schwachstelle oder ein unsicheres Web-Portal.
  2. Er fordert ein Zertifikat im Namen eines Administrators an.
  3. Mit diesem Zertifikat authentifiziert er sich am Domain Controller.
  4. Ergebnis: Vollständige Kontrolle über das gesamte Netzwerk.

So schützen Sie Ihr Unternehmen

  1. Konfiguration prüfen
    → Entfernen Sie alte oder ungenutzte Zertifikatsvorlagen.
    → Geben Sie „Enroll“-Rechte nur an wenige, klar definierte Gruppen.
    → Aktivieren Sie HTTPS für Web-Enrollment.
  2. Härtung durchführen
    → Trennen Sie Root- und Sub-CAs (z. B. Offline Root CA).
    → Beschränken Sie Adminrechte auf das Minimum.
    → Verwenden Sie moderne Authentifizierung (Kerberos statt NTLM).
  3. Überwachung aktivieren
    → Aktivieren Sie Audit Logs für Zertifikatsanforderungen.
    → Richten Sie Alarme für verdächtige Anfragen ein.
    → Überwachen Sie Zertifikatsausstellungen aktiv (z. B. via SIEM).
  4. Regelmäßig testen
    → Führen Sie regelmäßige AD- und ADCS-Penetrationstest durch.
    → Lassen Sie Ihre Konfiguration von externen Spezialisten überprüfen.
    → Beziehen Sie immer den gesamten AD-Kontext ein (NTLM, Relaying, Kerberos etc.).

Fazit

ADCS ist oft unsichtbar, aber enorm mächtig.
Wenn es falsch konfiguriert ist, kann ein Angreifer damit das gesamte Unternehmensnetzwerk übernehmen.
Unsere Empfehlung: Prüfen Sie Ihre ADCS-Umgebung regelmäßig oder lassen Sie einen Active Directory Pentest durchführen.
In Österreich sehen wir derzeit viele Unternehmen, die glauben, ihre Systeme seien sicher, bis wir das Gegenteil beweisen.

Wir unterstützen Sie gerne dabei, Ihre AD- und PKI-Umgebung abzusichern.