Cada ruta de certificado ADCS explotable en tu PKI, encontrada y demostrada.
ADscan valida las 15 clases ESC frente a tu despliegue de Servicios de Certificados de Active Directory: 12 auto-explotadas de principio a fin, 3 detectadas y marcadas, para que sepas exactamente qué configuraciones incorrectas de certificado son rutas de ataque abiertas a Domain Admin hoy.
La exposición de certificados ADCS es el conjunto de configuraciones incorrectas de plantillas de certificado e infraestructura PKI (ESC1 a ESC15) que permiten a un atacante obtener un certificado que puede usarse para autenticarse como un usuario privilegiado, incluido un Domain Admin o un Domain Controller. ADscan valida cada clase soportada frente a tu entorno real usando una implementación nativa equivalente a certipy.
12 / 15
Los Servicios de Certificados de Active Directory están desplegados en la mayoría de entornos Windows empresariales, pero su superficie de ataque era prácticamente desconocida hasta que Will Schroeder y Lee Christensen publicaron la investigación ESC en 2021. Desde entonces, cada análisis post-incidente de ransomware importante ha incluido una configuración incorrecta de plantilla de certificado como vector de acceso inicial o de escalada de privilegios. Los pentests anuales rara vez incluyen una enumeración ESC completa, y los escáneres automatizados solo mapean plantillas sin explotarlas. ADscan valida cada clase con una implementación nativa, prueba la ruta de principio a fin y ata cada hallazgo a DORA, NIS2 y ENS.
Clases ESC auto-explotadas de principio a fin por ADscan · ESC5, ESC10, ESC16, ESC17 detectadas y marcadas
- 01
Enumerar la PKI
Recolecta cada plantilla de certificado, configuración de CA y política de emisión del dominio de forma nativa: sin agente, sin binario certipy, sin dependencia de PowerShell.
- 02
Clasificar cada clase ESC
Evalúa las plantillas frente a las 15 condiciones ESC: derechos de inscripción, CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT, configuraciones incorrectas de EKU, configuraciones incorrectas a nivel de CA, condiciones de relay y las clases más recientes ESC11 a ESC15.
- 03
Explotar cada clase soportada
Solicita y obtiene certificados para ESC1 a ESC4, ESC6 a ESC9 y ESC11 a ESC13 (12 clases) de principio a fin, recuperando una credencial o ticket de alto privilegio de cada una.
- 04
Detectar y marcar las clases restantes
ESC5, ESC10, ESC16 y ESC17 se enumeran, analizan y marcan como presentes con notas de explotación detalladas, pero no se auto-explotan dada su complejidad específica del entorno.
- 05
Encadenar hasta Domain Admin
Cuando una ruta de certificado lleva a una cuenta de Domain Controller o a un grupo privilegiado, ADscan encadena la recuperación mediante PKINIT o S4U para obtener un ticket de Domain Admin y marcar la ruta como probada.
- 06
Mapear a cumplimiento y remediar
Cada clase ESC probada o detectada se ata a su control de DORA, NIS2 y ENS, y se acompaña del cambio concreto en la plantilla o configuración de CA que la cierra.
Cobertura ESC1 a ESC15
ADscan evalúa las 15 clases ESC definidas en la investigación Certified Pre-Owned y su trabajo de seguimiento. 12 se explotan automáticamente; 3 (ESC5, ESC10, ESC16, ESC17) se detectan y se sacan a la luz con notas de explotación.
Implementación nativa equivalente a certipy
La enumeración y explotación de certificados usan una implementación nativa: no se envía ni invoca ningún binario certipy. Los mismos protocolos LDAP y RPC que usa Windows enumeran plantillas, solicitan certificados y los convierten en tickets Kerberos.
Cadena PKINIT y S4U hasta Tier 0
Cuando la recuperación del certificado permite PKINIT, ADscan completa la cadena hasta un TGT Kerberos y un ticket de Domain Admin, probando que la ruta alcanza Tier 0 en lugar de detenerse en la obtención del certificado.
Detección de configuraciones incorrectas a nivel de CA
Más allá de las comprobaciones de plantillas, ADscan evalúa las condiciones a nivel de CA (ESC6, ESC7, ESC8) incluyendo EDITF_ATTRIBUTESUBJECTALTNAME2, ACL sobre el objeto CA y condiciones de relay NTLM contra el endpoint de inscripción de certificados.
Probada vs detectada, claramente separadas
El informe distingue las clases ESC explotadas (certificado obtenido y encadenado a Domain Admin) de las clases ESC detectadas (presentes y explotables, pero no auto-explotadas). Ambas categorías incluyen calificación de severidad y remediación.
Guía de remediación a nivel de plantilla
Cada hallazgo mapea a la propiedad exacta de la plantilla o configuración de CA que cierra la exposición: nombres de flags, claves de registro y la ruta de Directiva de Grupo donde sea relevante, no consejos genéricos de "refuerza tu PKI".
Mapeado al control por el que pregunta tu supervisor.
Las configuraciones incorrectas de plantillas de certificado ADCS son rutas de ataque directas a Domain Admin. Cada hallazgo ESC probado se ata al Artículo 9.4 de DORA (protección y prevención de la infraestructura TIC) y al Artículo 24 (pruebas), a las medidas de gestión de riesgos y control de acceso del Artículo 21 de NIS2, a los controles operativos y de control de acceso de ENS Alto incluyendo OP.ACC.6 y MP.IF.7, e ISO 27001:2022 Anexo A.8. El informe entrega la cita legal junto a cada hallazgo para que tu evidencia de cumplimiento esté lista sin un ejercicio de mapeo separado.
El motor open source de ADscan en la línea de comandos enumera todas las clases ESC, explota las 12 clases soportadas de principio a fin e informa cada hallazgo con guía de remediación. Gratis en GitHub, sin licencia.
Añade el informe PDF para comité con la narrativa completa del ataque ADCS, el mapeo de cumplimiento DORA, NIS2 y ENS por hallazgo, y referencias a técnicas MITRE ATT&CK. Gratis en beta para consultoras y MSSPs a cambio de feedback. La plataforma Enterprise añade revalidación programada y seguimiento de deriva a lo largo de los cambios en la PKI.
Explora el resto de la plataforma.
Validación de rutas de ataque
Explota cada ruta soportada de un usuario sin privilegios a Domain Admin.
AbrirPrivilegios y delegación
Delegación no restringida y restringida, RBCD y abuso de ACL.
AbrirValidación de vulnerabilidades AD
ZeroLogon, PetitPotam y configuraciones críticas de AD, validadas.
AbrirEn todos los entornos regulados donde ADscan ha ejecutado una evaluación completa de PKI, al menos una clase ESC explotable estaba presente. ESC1 y ESC3 son las más frecuentes; en dos casos la CA tenía EDITF_ATTRIBUTESUBJECTALTNAME2 activado, convirtiendo cada certificado inscrito en un vector potencial de Domain Admin.
Preguntas, respondidas.
¿Qué es un ataque ADCS ESC1?
ESC1 es la configuración incorrecta de plantilla de certificado en la que la plantilla permite al usuario solicitante proporcionar un Nombre Alternativo del Sujeto (SAN) y concede derechos de inscripción a usuarios sin privilegios. Un atacante solicita un certificado con el UPN de un Domain Admin en el campo SAN y luego lo usa para obtener un TGT Kerberos como Domain Admin. ADscan identifica las plantillas elegibles y completa esta cadena de principio a fin.
¿Cuántas clases ESC existen y cuáles cubre ADscan?
La investigación Certified Pre-Owned definió ESC1 a ESC8, e investigaciones posteriores ampliaron el catálogo hasta ESC15. ADscan evalúa las 15 clases. ESC1 a ESC4, ESC6 a ESC9 y ESC11 a ESC13 (12 clases) se auto-explotan de principio a fin. ESC5, ESC10, ESC16 y ESC17 se detectan y se marcan con notas de explotación, pero no se auto-explotan por su complejidad específica del entorno.
¿Cómo detecta ADscan ataques ADCS sin ejecutar certipy?
ADscan usa una implementación nativa de los mismos protocolos LDAP y RPC que usa Windows para enumerar plantillas de certificado, consultar la configuración de CA y solicitar certificados. No se envía ni invoca ningún binario externo. Esto mantiene la herramienta sin dependencias y significa que la lógica de enumeración puede ejecutarse a través de trust de dominios y en entornos restringidos donde PowerShell o herramientas de terceros están bloqueadas.
¿Utiliza ADscan certipy?
No. ADscan incluye una implementación nativa equivalente a certipy que reproduce la misma lógica de enumeración y explotación usando protocolos Windows directamente. Esto evita una dependencia del tiempo de ejecución Python, mantiene la herramienta autocontenida y significa que la implementación puede auditarse junto al resto del código base de ADscan.
¿Está ADCS dentro del alcance de DORA y ENS Alto?
Sí. ADCS es la infraestructura PKI que sustenta la autenticación y la firma de código en entornos Windows. Una autoridad certificadora comprometida equivale a un dominio comprometido. El Artículo 9.4 de DORA exige medidas de protección y prevención para la infraestructura TIC, y el Artículo 24 exige pruebas periódicas de esas medidas. Los controles operativos de ENS Alto (OP.ACC.6) e ISO 27001:2022 Anexo A.8 cubren ambos el acceso privilegiado y la infraestructura de autenticación. ADscan mapea cada hallazgo ESC al control específico.
¿Cuál es la diferencia entre una configuración incorrecta de certificado y una ruta a Domain Admin?
Una configuración incorrecta de certificado (como ESC1) es una propiedad en una sola plantilla o CA. Una ruta a Domain Admin es la cadena: una cuenta sin privilegios se inscribe en la plantilla, obtiene un certificado con un SAN de administrador, usa PKINIT para obtener un TGT como Domain Admin. ADscan valida la cadena completa, no solo la condición de la plantilla, para que sepas que la configuración incorrecta es una ruta de ataque real y no una teórica.
Descubre qué ruta a Domain Admin tienes hoy.
Pide una evaluación y ejecutaremos ADscan contra tu Active Directory, y luego entregamos el informe mapeado a cumplimiento.