<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Adcs on Ethical Hacking | Pentest e Sicurezza Informatica | Hackita</title><link>https://hackita.it/tags/adcs/</link><description>Recent content in Adcs on Ethical Hacking | Pentest e Sicurezza Informatica | Hackita</description><generator>Hugo</generator><language>it</language><lastBuildDate>Thu, 02 Jul 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://hackita.it/tags/adcs/index.xml" rel="self" type="application/rss+xml"/><item><title>EKU OID in ADCS: Guida Completa per il Penetration Testing su Active Directory</title><link>https://hackita.it/articoli/adcs-eku-oid-offensive/</link><pubDate>Thu, 02 Jul 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/adcs-eku-oid-offensive/</guid><description>&lt;h1
 id="eku-oid-adcs-identificazione-e-abuso-nei-certificate-template" class="group/anchor-heading"&gt;
 EKU OID ADCS: Identificazione e Abuso nei Certificate Template
 &lt;a href="#eku-oid-adcs-identificazione-e-abuso-nei-certificate-template" class="text-inherit opacity-0 group-hover/anchor-heading:opacity-100 decoration-transparent"&gt;#&lt;/a&gt;
&lt;/h1&gt;&lt;p&gt;Se hai mai letto l&amp;rsquo;output di &lt;code&gt;certify.exe find&lt;/code&gt; o &lt;code&gt;certipy find&lt;/code&gt;, avrai visto numeri come &lt;code&gt;1.3.6.1.5.5.7.3.2&lt;/code&gt; accanto a voci come &amp;ldquo;Client Authentication&amp;rdquo;. Quei numeri si chiamano &lt;strong&gt;OID&lt;/strong&gt; (Object Identifier) e definiscono a cosa serve un certificato X.509. In fase offensiva su Active Directory, capire quali OID rendono un certificate template sfruttabile è la differenza tra trovare un vettore di privilege escalation e passarci davanti senza vederlo.&lt;/p&gt;</description></item><item><title>ESC15 ADCS (CVE-2024-49019): EKUwu e Injection di Application Policies</title><link>https://hackita.it/articoli/adesc15-adcs/</link><pubDate>Tue, 10 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/adesc15-adcs/</guid><description>&lt;p&gt;ESC15 è una tecnica di &lt;strong&gt;Active Directory Privilege Escalation tramite AD CS&lt;/strong&gt; scoperta da &lt;strong&gt;Justin Bollinger (TrustedSec)&lt;/strong&gt; e identificata come &lt;strong&gt;CVE-2024-49019&lt;/strong&gt;, soprannominata dalla community &lt;strong&gt;EKUwu&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;Questa vulnerabilità colpisce &lt;strong&gt;Certificate Authority non patchate (pre-Novembre 2024)&lt;/strong&gt; e permette a un attaccante di &lt;strong&gt;iniettare Application Policies arbitrarie dentro un certificato emesso da template V1&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;In pratica l’attaccante può &lt;strong&gt;aggiungere EKU non previsti dal template&lt;/strong&gt;, ottenendo capacità che il template non dovrebbe concedere.&lt;/p&gt;
&lt;p&gt;Esempio tipico:&lt;/p&gt;</description></item><item><title>ESC16 ADCS: CA con SID Security Extension Disabilitata</title><link>https://hackita.it/articoli/esc16-adcs/</link><pubDate>Tue, 10 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/esc16-adcs/</guid><description>&lt;p&gt;ESC16 è una tecnica di &lt;strong&gt;Active Directory Privilege Escalation tramite AD CS&lt;/strong&gt; in cui la &lt;strong&gt;Certificate Authority è configurata per disabilitare globalmente la SID security extension&lt;/strong&gt; nei certificati emessi.&lt;/p&gt;
&lt;p&gt;Questa estensione:&lt;/p&gt;


&lt;div class="shadow-xl border border-primary h-fit rounded-md"&gt;
 &lt;div 
 class="w-full rounded-t-md py-3 px-[0.8571429em] header-glass flex justify-between items-center"&gt;
 &lt;div class="flex gap-x-2"&gt;
 &lt;span class="size-3 bg-red-500 rounded-full"&gt;&lt;/span&gt;
 &lt;span class="size-3 bg-yellow-500 rounded-full"&gt;&lt;/span&gt;
 &lt;span class="size-3 bg-green-500 rounded-full"&gt;&lt;/span&gt;
 &lt;/div&gt;
 &lt;span class="uppercase text-sm"&gt;text&lt;/span&gt;
 &lt;/div&gt;
 &lt;pre tabindex="0"&gt;&lt;code&gt;1.3.6.1.4.1.311.25.2&lt;/code&gt;&lt;/pre&gt;
&lt;/div&gt;
&lt;p&gt;(&lt;code&gt;szOID_NTDS_CA_SECURITY_EXT&lt;/code&gt;)&lt;/p&gt;
&lt;p&gt;contiene il &lt;strong&gt;SID dell’account AD&lt;/strong&gt; e viene usata dai Domain Controller per il &lt;strong&gt;strong certificate mapping&lt;/strong&gt; introdotto con gli update di sicurezza del 2022 (KB5014754).&lt;/p&gt;</description></item><item><title>ESC10 ADCS: Privilege Escalation tramite Weak Certificate Mapping Schannel</title><link>https://hackita.it/articoli/esc10-adcs/</link><pubDate>Mon, 09 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/esc10-adcs/</guid><description>&lt;p&gt;ESC10 è una tecnica di &lt;strong&gt;Active Directory Privilege Escalation tramite AD CS&lt;/strong&gt; che sfrutta &lt;strong&gt;weak certificate mapping in Schannel authentication&lt;/strong&gt;. Schannel è il componente Windows usato per TLS authentication su servizi come &lt;strong&gt;LDAPS, IIS HTTPS e altri servizi TLS enterprise&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;A differenza di &lt;strong&gt;Kerberos PKINIT&lt;/strong&gt;, il comportamento di Schannel non dipende dal parametro &lt;code&gt;StrongCertificateBindingEnforcement&lt;/code&gt;, ma dalla configurazione del registro:&lt;/p&gt;


&lt;div class="shadow-xl border border-primary h-fit rounded-md"&gt;
 &lt;div 
 class="w-full rounded-t-md py-3 px-[0.8571429em] header-glass flex justify-between items-center"&gt;
 &lt;div class="flex gap-x-2"&gt;
 &lt;span class="size-3 bg-red-500 rounded-full"&gt;&lt;/span&gt;
 &lt;span class="size-3 bg-yellow-500 rounded-full"&gt;&lt;/span&gt;
 &lt;span class="size-3 bg-green-500 rounded-full"&gt;&lt;/span&gt;
 &lt;/div&gt;
 &lt;span class="uppercase text-sm"&gt;text&lt;/span&gt;
 &lt;/div&gt;
 &lt;div class="highlight"&gt;&lt;pre tabindex="0" class="chroma"&gt;&lt;code class="language-text" data-lang="text"&gt;&lt;span class="line"&gt;&lt;span class="cl"&gt;HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\CertificateMappingMethods&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;Se questo valore include il flag &lt;strong&gt;0x4 (UPN mapping)&lt;/strong&gt;, Schannel può mappare un certificato a un account Active Directory &lt;strong&gt;solo usando l’UPN nel certificato&lt;/strong&gt;, ignorando il SID contenuto nella security extension.&lt;/p&gt;</description></item><item><title>ESC11 ADCS: NTLM Relay verso RPC Enrollment della Certificate Authority</title><link>https://hackita.it/articoli/esc11-adcs/</link><pubDate>Mon, 09 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/esc11-adcs/</guid><description>&lt;p&gt;ESC11 è una tecnica di &lt;strong&gt;Active Directory Privilege Escalation tramite AD CS&lt;/strong&gt; che sfrutta &lt;strong&gt;NTLM Relay verso l’interfaccia RPC della Certificate Authority&lt;/strong&gt;. A differenza di &lt;a href="https://hackita.it/articoli/esc8-adcs"&gt;ESC8&lt;/a&gt;, che colpisce gli endpoint web &lt;code&gt;/certsrv/&lt;/code&gt;, ESC11 prende di mira direttamente l’interfaccia &lt;strong&gt;RPC usata dai client per richiedere certificati&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;Questa interfaccia utilizza RPC per operazioni di enrollment tramite API come:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;code&gt;ICertRequestD&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;ICertPassage&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;interfaccia ICPR (ICertPassage Remote)&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Il problema nasce quando la CA &lt;strong&gt;non richiede encryption per le richieste RPC&lt;/strong&gt;. In condizioni sicure la CA dovrebbe imporre il livello di autenticazione:&lt;/p&gt;</description></item><item><title>ESC12 ADCS: Compromissione della CA tramite YubiHSM2</title><link>https://hackita.it/articoli/esc12-adcs/</link><pubDate>Mon, 09 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/esc12-adcs/</guid><description>&lt;p&gt;ESC12 è una tecnica di &lt;strong&gt;Active Directory Privilege Escalation tramite AD CS&lt;/strong&gt; che riguarda un caso molto specifico: l’uso di &lt;strong&gt;YubiHSM2 per proteggere la chiave privata della Certificate Authority&lt;/strong&gt;. A differenza delle altre tecniche ESC, qui il problema non è una misconfiguration di AD CS ma una possibile &lt;strong&gt;vulnerabilità nel software stack del dispositivo HSM&lt;/strong&gt; o nella sua integrazione con il server CA.&lt;/p&gt;
&lt;p&gt;In alcune ricerche della community (in particolare quelle di &lt;strong&gt;Hans-Joachim Knobloch&lt;/strong&gt;) è stato dimostrato che, in determinate condizioni, un attaccante con &lt;strong&gt;accesso shell a basso privilegio sul server della CA&lt;/strong&gt; potrebbe riuscire a interagire con il &lt;strong&gt;YubiHSM2 Key Storage Provider (KSP)&lt;/strong&gt; in modo non previsto.&lt;/p&gt;</description></item><item><title>ESC13 ADCS: Privilege Escalation tramite Issuance Policy OID</title><link>https://hackita.it/articoli/esc13-adcs/</link><pubDate>Mon, 09 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/esc13-adcs/</guid><description>&lt;p&gt;ESC13 è una tecnica di &lt;strong&gt;Active Directory Privilege Escalation tramite AD CS&lt;/strong&gt; che sfrutta una configurazione pericolosa tra &lt;strong&gt;Issuance Policy OID e gruppi Active Directory&lt;/strong&gt;. In questo scenario un template di certificato include una &lt;strong&gt;Issuance Policy OID&lt;/strong&gt; che, nella configurazione PKI di Active Directory, è collegata a un &lt;strong&gt;gruppo AD tramite l’attributo &lt;code&gt;msDS-OIDToGroupLink&lt;/code&gt;&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;Quando un utente autentica tramite certificato (PKINIT), il &lt;strong&gt;KDC legge l’OID presente nel certificato&lt;/strong&gt; e verifica se quell’OID è collegato a un gruppo. Se esiste un collegamento, il &lt;strong&gt;SID del gruppo viene aggiunto al Kerberos TGT&lt;/strong&gt; all’interno del PAC.&lt;/p&gt;</description></item><item><title>ESC14 ADCS: Weak Explicit Certificate Mapping via altSecurityIdentities</title><link>https://hackita.it/articoli/adesc14-adcs/</link><pubDate>Mon, 09 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/adesc14-adcs/</guid><description>&lt;p&gt;ESC14 è una tecnica di &lt;strong&gt;Active Directory Privilege Escalation tramite AD CS&lt;/strong&gt; che sfrutta configurazioni deboli dell’attributo &lt;strong&gt;&lt;code&gt;altSecurityIdentities&lt;/code&gt;&lt;/strong&gt; negli oggetti Active Directory. Questo attributo permette di creare &lt;strong&gt;explicit certificate mapping&lt;/strong&gt;, cioè associare manualmente un certificato X.509 a un account AD per l’autenticazione.&lt;/p&gt;
&lt;p&gt;Quando &lt;code&gt;altSecurityIdentities&lt;/code&gt; è configurato, Active Directory può usare questa associazione &lt;strong&gt;per autenticare direttamente l’utente tramite certificato&lt;/strong&gt;, bypassando i normali meccanismi di mapping basati su:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;SAN UPN&lt;/li&gt;
&lt;li&gt;DNS name&lt;/li&gt;
&lt;li&gt;SID security extension&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Il problema nasce quando la stringa di mapping è &lt;strong&gt;troppo generica o facilmente replicabile&lt;/strong&gt;. In questo caso un attaccante può ottenere o creare un certificato con gli stessi attributi e &lt;strong&gt;impersonare l’account associato&lt;/strong&gt;.&lt;/p&gt;</description></item><item><title>ESC8 ADCS: NTLM Relay contro Web Enrollment per Domain Admin</title><link>https://hackita.it/articoli/esc8-adcs/</link><pubDate>Sun, 08 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/esc8-adcs/</guid><description>&lt;p&gt;ESC8 è una tecnica di &lt;strong&gt;Active Directory Privilege Escalation tramite AD CS&lt;/strong&gt; che sfrutta &lt;strong&gt;NTLM Relay contro gli endpoint HTTP di enrollment della Certificate Authority&lt;/strong&gt;. In pratica l&amp;rsquo;attaccante intercetta un&amp;rsquo;autenticazione NTLM di un account privilegiato e la inoltra al servizio web di AD CS per ottenere un certificato a nome della vittima.&lt;/p&gt;
&lt;p&gt;I target principali sono gli endpoint web di enrollment:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;code&gt;http://&amp;lt;CA&amp;gt;/certsrv/&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;https://&amp;lt;CA&amp;gt;/certsrv/&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;CES (Certificate Enrollment Service)&lt;/li&gt;
&lt;li&gt;CEP (Certificate Enrollment Policy)&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;⚠️ &lt;strong&gt;Certipy supporta il relay solo verso il classico Web Enrollment &lt;code&gt;/certsrv/&lt;/code&gt;&lt;/strong&gt;, in particolare l&amp;rsquo;endpoint:&lt;/p&gt;</description></item><item><title>ESC9 ADCS: Privilege Escalation tramite Template senza SID Security Extension</title><link>https://hackita.it/articoli/esc9-adcs/</link><pubDate>Sun, 08 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/esc9-adcs/</guid><description>&lt;h1
 id="esc9-adcs-privesc-a-domain-admin-via-weak-certificate-mapping--certipy-exploitation--event-3941-detection--mitigazione-kb5014754-2026" class="group/anchor-heading"&gt;
 ESC9 ADCS: PrivEsc a Domain Admin via Weak Certificate Mapping | Certipy Exploitation + Event 39/41 Detection + Mitigazione (KB5014754) 2026
 &lt;a href="#esc9-adcs-privesc-a-domain-admin-via-weak-certificate-mapping--certipy-exploitation--event-3941-detection--mitigazione-kb5014754-2026" class="text-inherit opacity-0 group-hover/anchor-heading:opacity-100 decoration-transparent"&gt;#&lt;/a&gt;
&lt;/h1&gt;&lt;p&gt;&lt;strong&gt;ESC9&lt;/strong&gt; è una misconfiguration critica in Active Directory Certificate Services (ADCS) che consente di escalare privilegi impersonando utenti privilegiati come Domain Admin. A differenza di altre ESC (ESC1, ESC2, ecc.), ESC9 non si basa su problemi di enrollment diretti, ma su &lt;strong&gt;certificate mapping debole&lt;/strong&gt; — il processo attraverso il quale Active Directory associa un certificato a un account AD.&lt;/p&gt;</description></item><item><title>ESC3 ADCS Privilege Escalation: Exploit Active Directory con Certipy</title><link>https://hackita.it/articoli/esc3-adcs/</link><pubDate>Sat, 07 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/esc3-adcs/</guid><description>&lt;p&gt;ESC3 è una tecnica di &lt;strong&gt;Active Directory Privilege Escalation tramite AD CS&lt;/strong&gt; che sfrutta i &lt;strong&gt;Enrollment Agent certificates&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;Un &lt;strong&gt;Enrollment Agent&lt;/strong&gt; è un account autorizzato a richiedere certificati &lt;strong&gt;per conto di altri utenti&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;Se un attaccante riesce a ottenere un certificato con EKU:&lt;/p&gt;


&lt;div class="shadow-xl border border-primary h-fit rounded-md"&gt;
 &lt;div 
 class="w-full rounded-t-md py-3 px-[0.8571429em] header-glass flex justify-between items-center"&gt;
 &lt;div class="flex gap-x-2"&gt;
 &lt;span class="size-3 bg-red-500 rounded-full"&gt;&lt;/span&gt;
 &lt;span class="size-3 bg-yellow-500 rounded-full"&gt;&lt;/span&gt;
 &lt;span class="size-3 bg-green-500 rounded-full"&gt;&lt;/span&gt;
 &lt;/div&gt;
 &lt;span class="uppercase text-sm"&gt;text&lt;/span&gt;
 &lt;/div&gt;
 &lt;pre tabindex="0"&gt;&lt;code&gt;1.3.6.1.4.1.311.20.2.1
Certificate Request Agent&lt;/code&gt;&lt;/pre&gt;
&lt;/div&gt;
&lt;p&gt;può richiedere certificati &lt;strong&gt;per qualsiasi utente del dominio&lt;/strong&gt;, inclusi &lt;strong&gt;Domain Admin&lt;/strong&gt;.&lt;/p&gt;</description></item><item><title>ESC4 ADCS Privilege Escalation: Template Hijacking con Certipy</title><link>https://hackita.it/articoli/esc4-adcs/</link><pubDate>Sat, 07 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/esc4-adcs/</guid><description>&lt;h1
 id="adcs-esc4-privilege-escalation-via-permessi-sui-certificate-template" class="group/anchor-heading"&gt;
 ADCS ESC4: Privilege Escalation via Permessi sui Certificate Template
 &lt;a href="#adcs-esc4-privilege-escalation-via-permessi-sui-certificate-template" class="text-inherit opacity-0 group-hover/anchor-heading:opacity-100 decoration-transparent"&gt;#&lt;/a&gt;
&lt;/h1&gt;&lt;p&gt;ESC4 è una tecnica di privilege escalation su Active Directory che sfrutta &lt;strong&gt;permessi di scrittura su un certificate template&lt;/strong&gt;. I certificate template sono oggetti AD — se un attaccante ha i permessi per modificarli, può trasformare un template sicuro in uno vulnerabile (tipicamente ESC1) e ottenere certificati per qualsiasi utente del dominio, Administrator incluso.&lt;/p&gt;
&lt;p&gt;I template vivono in AD sotto:&lt;/p&gt;</description></item><item><title>ESC5 ADCS Privilege Escalation: Golden Certificate e CA Compromise con Certipy</title><link>https://hackita.it/articoli/esc5-adcs/</link><pubDate>Sat, 07 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/esc5-adcs/</guid><description>&lt;p&gt;ESC5 è una tecnica di &lt;strong&gt;Active Directory Privilege Escalation tramite AD CS&lt;/strong&gt; che sfrutta &lt;strong&gt;ACL deboli su oggetti PKI in Active Directory&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;A differenza di:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;ESC4 → ACL sui certificate template&lt;/strong&gt;&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;ESC7 → permessi sulla CA&lt;/strong&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;ESC5 riguarda &lt;strong&gt;altri oggetti PKI nel Configuration container&lt;/strong&gt;.&lt;/p&gt;
&lt;hr&gt;
&lt;h1
 id="dove-si-trovano-questi-oggetti" class="group/anchor-heading"&gt;
 Dove si trovano questi oggetti
 &lt;a href="#dove-si-trovano-questi-oggetti" class="text-inherit opacity-0 group-hover/anchor-heading:opacity-100 decoration-transparent"&gt;#&lt;/a&gt;
&lt;/h1&gt;&lt;p&gt;Gli oggetti PKI sono salvati in:&lt;/p&gt;


&lt;div class="shadow-xl border border-primary h-fit rounded-md"&gt;
 &lt;div 
 class="w-full rounded-t-md py-3 px-[0.8571429em] header-glass flex justify-between items-center"&gt;
 &lt;div class="flex gap-x-2"&gt;
 &lt;span class="size-3 bg-red-500 rounded-full"&gt;&lt;/span&gt;
 &lt;span class="size-3 bg-yellow-500 rounded-full"&gt;&lt;/span&gt;
 &lt;span class="size-3 bg-green-500 rounded-full"&gt;&lt;/span&gt;
 &lt;/div&gt;
 &lt;span class="uppercase text-sm"&gt;text&lt;/span&gt;
 &lt;/div&gt;
 &lt;pre tabindex="0"&gt;&lt;code&gt;CN=Public Key Services,CN=Services,CN=Configuration&lt;/code&gt;&lt;/pre&gt;
&lt;/div&gt;
&lt;p&gt;Esempi importanti:&lt;/p&gt;</description></item><item><title>ESC6 ADCS Privilege Escalation: SAN Injection tramite CA Flag (Certipy Exploit)</title><link>https://hackita.it/articoli/esc6-adcs/</link><pubDate>Sat, 07 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/esc6-adcs/</guid><description>&lt;p&gt;ESC6 è una tecnica di &lt;strong&gt;Active Directory Privilege Escalation tramite AD CS&lt;/strong&gt; che non colpisce i template ma direttamente la &lt;strong&gt;Certificate Authority&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;Quando la CA ha attivo il flag &lt;code&gt;EDITF_ATTRIBUTESUBJECTALTNAME2&lt;/code&gt;, gli utenti possono specificare &lt;strong&gt;Subject Alternative Name (SAN) arbitrari&lt;/strong&gt; nelle richieste di certificato. Questo comportamento agisce come un &lt;strong&gt;override globale della CA&lt;/strong&gt;, permettendo di inserire UPN o SID personalizzati anche su template che normalmente non lo consentirebbero.&lt;/p&gt;
&lt;p&gt;Nelle infrastrutture moderne patchate (post maggio 2022) &lt;strong&gt;ESC6 da solo non è sufficiente&lt;/strong&gt; per impersonare altri utenti. Deve essere combinato con &lt;a href="https://hackita.it/articoli/esc9-adcs"&gt;ESC9 ADCS&lt;/a&gt; o &lt;a href="https://hackita.it/articoli/esc16-adcs"&gt;ESC16 ADCS&lt;/a&gt;, che rimuovono la &lt;strong&gt;SID Security Extension&lt;/strong&gt; dal certificato.&lt;/p&gt;</description></item><item><title>ESC7 ADCS: Privilege Escalation Tramite Manage CA su Active Directory</title><link>https://hackita.it/articoli/esc7-adcs/</link><pubDate>Sat, 07 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/esc7-adcs/</guid><description>&lt;p&gt;ESC7 è una tecnica di &lt;strong&gt;Active Directory Privilege Escalation tramite AD CS&lt;/strong&gt; che deriva da permessi pericolosi direttamente sulla &lt;strong&gt;Certificate Authority&lt;/strong&gt;. In particolare quando un attaccante ottiene diritti come &lt;strong&gt;Manage CA&lt;/strong&gt; o &lt;strong&gt;Manage Certificates&lt;/strong&gt;, che permettono di controllare il comportamento della CA e il processo di emissione dei certificati.&lt;/p&gt;
&lt;p&gt;Il permesso &lt;strong&gt;Manage CA (ManageCa)&lt;/strong&gt; è il più critico. Consente di modificare la configurazione della CA, pubblicare template, assegnare ruoli (come Certificate Officer), avviare o fermare il servizio CA e modificare la sicurezza. Con questo livello di accesso un attaccante può forzare l&amp;rsquo;emissione di certificati arbitrari e ottenere accesso completo al dominio.&lt;/p&gt;</description></item><item><title>AD CS Privilege Escalation: Tutte le Tecniche ESC1–ESC16 con Certipy (Active Directory Attack Guide)</title><link>https://hackita.it/articoli/adcs-esc1-esc16/</link><pubDate>Fri, 06 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/adcs-esc1-esc16/</guid><description>&lt;p&gt;Active Directory Certificate Services (&lt;strong&gt;AD CS&lt;/strong&gt;) è uno dei vettori più potenti di &lt;strong&gt;privilege escalation in Active Directory&lt;/strong&gt;. Una singola misconfiguration nei certificate template o nella Certificate Authority può permettere a un utente di dominio di autenticarsi come &lt;strong&gt;Domain Admin&lt;/strong&gt; — spesso con un solo comando.&lt;/p&gt;
&lt;p&gt;Le tecniche &lt;strong&gt;ESC1–ESC16&lt;/strong&gt; sfruttano errori di configurazione nei template di certificato, nella CA e nel certificate mapping dei Domain Controller. In molti ambienti aziendali queste debolezze restano presenti per anni senza essere auditate, rendendo AD CS una delle superfici di attacco più efficaci nei penetration test interni.&lt;/p&gt;</description></item><item><title>ESC1 ADCS Privilege Escalation: Exploit Active Directory con Certipy</title><link>https://hackita.it/articoli/esc1-adcs/</link><pubDate>Fri, 06 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/esc1-adcs/</guid><description>&lt;p&gt;ESC1 è la &lt;strong&gt;misconfigurazione più classica e pericolosa di AD CS&lt;/strong&gt;. Permette a un utente con pochi privilegi di &lt;strong&gt;ottenere un certificato impersonando qualsiasi account del dominio&lt;/strong&gt;, inclusi &lt;strong&gt;Domain Admin&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;Il problema nasce quando un &lt;strong&gt;certificate template consente all&amp;rsquo;utente di specificare manualmente l&amp;rsquo;identità nel certificato&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;Se il template permette di inserire un &lt;strong&gt;UPN arbitrario nel SAN&lt;/strong&gt;, l&amp;rsquo;attaccante può richiedere un certificato per:&lt;/p&gt;


&lt;div class="shadow-xl border border-primary h-fit rounded-md"&gt;
 &lt;div 
 class="w-full rounded-t-md py-3 px-[0.8571429em] header-glass flex justify-between items-center"&gt;
 &lt;div class="flex gap-x-2"&gt;
 &lt;span class="size-3 bg-red-500 rounded-full"&gt;&lt;/span&gt;
 &lt;span class="size-3 bg-yellow-500 rounded-full"&gt;&lt;/span&gt;
 &lt;span class="size-3 bg-green-500 rounded-full"&gt;&lt;/span&gt;
 &lt;/div&gt;
 &lt;span class="uppercase text-sm"&gt;text&lt;/span&gt;
 &lt;/div&gt;
 &lt;div class="highlight"&gt;&lt;pre tabindex="0" class="chroma"&gt;&lt;code class="language-text" data-lang="text"&gt;&lt;span class="line"&gt;&lt;span class="cl"&gt;administrator@corp.local&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;e autenticarsi come Administrator.&lt;/p&gt;</description></item><item><title>ESC2 ADCS Privilege Escalation: Exploit Active Directory con Certipy</title><link>https://hackita.it/articoli/esc2-adcs/</link><pubDate>Fri, 06 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/esc2-adcs/</guid><description>&lt;p&gt;ESC2 è una tecnica di &lt;strong&gt;Active Directory Privilege Escalation tramite AD CS&lt;/strong&gt; che nasce quando un certificate template permette di ottenere un certificato con &lt;strong&gt;Any Purpose EKU&lt;/strong&gt; oppure &lt;strong&gt;nessun EKU definito&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;In pratica il certificato può essere usato per &lt;strong&gt;qualsiasi scopo&lt;/strong&gt;, inclusi:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;client authentication&lt;/li&gt;
&lt;li&gt;server authentication&lt;/li&gt;
&lt;li&gt;code signing&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;enrollment agent&lt;/strong&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;OID dell’Any Purpose EKU:&lt;/p&gt;


&lt;div class="shadow-xl border border-primary h-fit rounded-md"&gt;
 &lt;div 
 class="w-full rounded-t-md py-3 px-[0.8571429em] header-glass flex justify-between items-center"&gt;
 &lt;div class="flex gap-x-2"&gt;
 &lt;span class="size-3 bg-red-500 rounded-full"&gt;&lt;/span&gt;
 &lt;span class="size-3 bg-yellow-500 rounded-full"&gt;&lt;/span&gt;
 &lt;span class="size-3 bg-green-500 rounded-full"&gt;&lt;/span&gt;
 &lt;/div&gt;
 &lt;span class="uppercase text-sm"&gt;text&lt;/span&gt;
 &lt;/div&gt;
 &lt;pre tabindex="0"&gt;&lt;code&gt;2.5.29.37.0&lt;/code&gt;&lt;/pre&gt;
&lt;/div&gt;
&lt;p&gt;Questo implica automaticamente anche:&lt;/p&gt;</description></item></channel></rss>