Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
EnglishEspañolItalianoFrançaisDeutschPortuguês한국어日本語中文
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinareMicrosoft Alliance
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
Wie ich Domain-Admin über SafeNet-Agent für die Windows-Anmeldung über ESC1 erhielt

Wie ich Domain-Admin über SafeNet-Agent für die Windows-Anmeldung über ESC1 erhielt

Feb 2, 2026

Netwrix stellte fest, dass die SafeNet Agent für Windows Logon Versionen 4.0.0–4.1.2 standardmäßig eine unsichere AD CS-Zertifikatvorlage erstellen, die einen ESC1-Pfad ermöglicht, der es jedem authentifizierten Benutzer erlaubt, zu Domain Admin zu eskalieren.. Thales hat das Problem in Version 4.1.3 behoben, indem die Zertifikatanmeldung auf das NDES-Dienstkonto beschränkt wurde.

Beschreibung

Netwrix Security Research berichtete kürzlich über ein Sicherheitsrisiko im Zusammenhang mit Thales’ SafeNet Agent für Windows-Anmeldung Versionen 4.0.0, 4.1.1, und 4.1.2. Das Design des Agents basiert auf einer Zertifikatvorlage in den Active Directory-Zertifikatdiensten (AD CS), und die Konfiguration dieser Vorlage erstellt einen ESC1-Pfad. Dies ermöglicht es authentifizierten Benutzern, auf Domain-Admin-Rechte zu eskalieren, obwohl die Vorlage dazu gedacht ist, die passwortlose Windows-Anmeldefunktion zu unterstützen.

SafeNet Agent für Windows-Anmeldung ist eine leichtgewichtige Komponente, die auf Windows-Maschinen installiert wird, um die Anmeldesicherheit mit Multi-Faktor-Authentifizierung (MFA) zu stärken. Es hilft sicherzustellen, dass sensible Ressourcen nur von autorisierten Benutzern zugegriffen werden, und sichert Desktop-Anwendungen und Prozesse, die auf CredUI angewiesen sind. Dadurch soll eine sichere und konsistente Anmeldeerfahrung für Endbenutzer bereitgestellt werden. Passwortlose Windows-Anmeldung, die auf SafeNet Agent für Windows-Anmeldung basiert, beseitigt die Notwendigkeit von Passwörtern beim Zugriff auf die Maschine und andere Ressourcen. Passwortlose Windows-Anmeldung verwendet MFA basierend auf X.509 (PKI)-Zertifikaten und ist als Einstiegspunkt für Organisationen konzipiert, die ihren Weg zur passwortlosen Authentifizierung beginnen. Es hilft, Anrufe beim Helpdesk für Passwortzurücksetzungen zu reduzieren, bietet den Mitarbeitern eine reibungslosere Anmeldeerfahrung, die die Produktivität unterstützt, und bereitet die Umgebung auf eine breitere Einführung von passwortloser und moderner Authentifizierung vor.

Hier ist ein Architekturdiagramm auf hoher Ebene der Passwordless Windows Logon-Lösung und wie ihre Komponenten interagieren.

Image
Figure 1. High-level diagram of Passwordless Windows Logon between the user device, STA, the SCEP server, and ADCS.

Wie bereits erwähnt, erfordert die Installation eine AD CS und die Erstellung einer Zertifikatvorlage, um die passwortlose Anmeldung zu ermöglichen. Thales stellt auch eine ZIP-Datei in der offiziellen Dokumentation zur Verfügung, die zwei PowerShell-Skripte zur Automatisierung dieser Aufgaben enthält.

Image
Figure 2. Official setup steps for Passwordless Windows Logon.

Wenn wir die ZIP-Datei extrahieren, die mit der Installation kommt, finden wir eine interessante JSON-Datei mit dem Namen CertTemplate.json, die verwendet wird, um die Zertifikatvorlage zu automatisieren und auszufüllen. Das erste, was auffiel, war die Reihe von Extended Key Usages, die Authentifizierung ermöglichen, kombiniert mit msPKI-Certificate-Name-Flag wird auf 1, was das ENROLLEE_SUPPLIES_SUBJECT Flag aktiviert. Wenn Sie mit AD CS-Missbrauch vertraut sind, deutet diese Konfiguration stark auf ein ESC1-Problem hin.

Image
Figure 3. CertTemplate.json showing the WLAPwdlessLogon certificate template, including its display name, authentication EKU OIDs, and msPKI-Certificate-Name-Flag set to 1 (ENROLLEE_SUPPLIES_SUBJECT).

Dieses Skript installiert die erforderlichen Active Directory- und AD CS PowerShell-Tools und erstellt dann eine neue AD CS-Zertifikatvorlage mit dem Namen WLAPwdlessLogon unter Verwendung der Einstellungen aus CertTemplate.json und veröffentlicht sie. Danach gewährt es der Gruppe Authentifizierte Benutzer die Berechtigung zur Anmeldung auf der Vorlage und startet den Dienst für Zertifikatsdienste neu.

Image
Figure 4. The CreateCertTemplate.ps1 script uses grant_enroll_permission to assign Enroll rights on the WLAPwdlessLogon certificate template to Authenticated Users. Figure 4. The CreateCertTemplate.ps1 script uses grant_enroll_permission to assign Enroll rights on the WLAPwdlessLogon certificate template to Authenticated Users.

Das Ausführen des PowerShell-Skripts in unserem Labor bestätigt, dass die Vorlage erstellt wird und dass authentifizierte Benutzer die Berechtigung zum Einschreiben erhalten.

Image
Figure 5. Output from CreateCertTemplate.ps1 showing the WLAPwdlessLogon template created and Enroll permission granted to Authenticated Users. Figure 5. Output from CreateCertTemplate.ps1 showing the WLAPwdlessLogon template created and Enroll permission granted to Authenticated Users.

Nachdem wir die Zertifikatvorlage veröffentlicht hatten, überprüften wir, ob sie tatsächlich anfällig war, indem wir Certify.exe ausführten, um unsichere Vorlagen aufzulisten. Die Ausgabe zeigt, dass alle ESC1-Bedingungen erfüllt sind, was bedeutet, dass diese Vorlage es jedem authentifizierten Benutzer ermöglicht, auf Domain Admin zu eskalieren.

Image
Figure 6. Certify output showing the WLAPwdlessLogon template with ENROLLEE_SUPPLIES_SUBJECT set, client/smart card logon EKUs, and Enroll rights granted to Authenticated Users. Figure 6. Certify output showing the WLAPwdlessLogon template with ENROLLEE_SUPPLIES_SUBJECT set, client/smart card logon EKUs, and Enroll rights granted to Authenticated Users.

Wir können jetzt ein Zertifikat für jedes Benutzer- oder Computer-Konto anfordern und ESC1 verwenden, um diese Identität, einschließlich eines Domain-Administrators, zu impersonifizieren. In diesem Beispiel werden wir es mit dem MSOL_1191fa1e45e4 Konto tun, da es DCSync-Berechtigungen hat.

Image
Figure 7. Using Certipy to request a certificate for the MSOL_1191fa1e45e4 account via the vulnerable WLAPwdlessLogon template.

An diesem Punkt können wir ein Kerberos TGT für diese Identität anfordern und es verwenden, um lateral als dieses Konto zu agieren.

Image
Figure 8. Rubeus using the MSOL certificate to request a Kerberos TGT via PKINIT, successfully returning a ticket for the MSOL_1191fa1e45e4 account.

Offenlegungszeitraum

  • Wir haben dieses Sicherheitsproblem am 24. November 2025, einschließlich eines Proof of Concept, der zeigt, dass das Produkt von Design aus anfällig ist und authentifizierte Benutzer ESC1 verwenden können, um Domain-Admin zu erreichen. Thales hat den Bericht am selben Tag anerkannt und an das verantwortliche Team eskaliert.
  • Am 28. November 2025, haben wir Thales kontaktiert, um ein Update zu diesem Fall anzufordern, da wir glauben, dass es einen erheblichen Konstruktionsfehler darstellt.
  • Am 4. Dezember 2025, antwortete Thales, dass sie weiterhin auf Feedback von ihrem Ingenieurteam warteten.
  • Am 10. Dezember 2025, folgte Netwrix Security Research nach, um ein Update anzufordern.
  • Am 12. Dezember 2025, bestätigte Thales, dass ihr Ingenieurteam das Problem identifiziert hatte und an einer Lösung sowie einem Sicherheitsbulletin arbeitete, um die Kunden zu informieren.
  • Am 5. Januar 2026, hat die Netwrix Security Research erneut nach einem Update zu dem Thales-Sicherheitsbulletin gefragt, das die Maßnahmen zu diesem Problem behandelt.
  • Am 12. Januar 2026, antwortete Thales und bestätigte, dass sie ein Sicherheitsbulletin herausgegeben und eine aktualisierte Produktversion veröffentlicht haben, die das Problem behebt.

Minderung

Zum Zeitpunkt des Schreibens hatte Thales reserviert CVE-2026-0872 und veröffentlichte ein Sicherheitsbulletin, in dem empfohlen wurde, dass Kunden SafeNet Agent für Windows Logon auf Version 4.1.3 aktualisieren, um das Problem zu beheben.

Image

In der aktualisierten Version wurde auch die Anleitung für die AD CS-Vorlagen überarbeitet. Authentifizierte Benutzer haben keine Anmelderechte, und nur das NDES-Dienstkonto darf sich für diese Vorlage anmelden.

Image
Figure 10. Official documentation updated the certificate template configuration to modify security permissions required for Passwordless Windows Logon enrollment. https://thalesdocs.com/sta/agents/wla-windows_logon/wla-preinstallation_passwordless/index.html
Image
Figure 11. Shows CreateCertTemplate.ps1 updated the certificate template to remove Enroll permissions from Authenticated Users and grant Enroll only to the NDES service account.

Wenn wir Certify.exe erneut ausführen, können wir bestätigen, dass Lesen/Registrieren Berechtigungen jetzt auf das NDES-Dienstkonto, und Authentifizierte Benutzer diese Rechte nicht mehr haben.

Image
Figure 12. Certify.exe shows Enroll is now limited to the NDES service account.

Fazit

Dieser Fall zeigt ein Beispiel aus der Praxis, dass ein MFA-Produkt immer noch erhebliche Risiken einführen kann, wenn es auf einem schlechten AD CS-Design basiert. Die passwortlose Funktion wurde auf einer Zertifikatvorlage aufgebaut, die es jedem authentifizierten Benutzer erlaubt, ein Zertifikat mit client-auth EKUs und ENROLLEE_SUPPLIES_SUBJECT anzufordern, und das Skript des Anbieters gewährt sogar standardmäßig die Berechtigung zur Anmeldung für authentifizierte Benutzer. Zusammen verwandelt dies eine Sicherheitsfunktion in einen vorgefertigten ESC1-Weg zum Domain-Admin.

Referenzen

Häufig gestellte Fragen

Teilen auf

Erfahren Sie mehr

Über den Autor

Author default

Huy Kha

Direktor für Sicherheitsforschung

Neueste blogbeiträge

Wie ich Domain-Admin über SafeNet-Agent für die Windows-Anmeldung über ESC1 erhielt

Introduction to Netwrix's Security Research

Generierung von Deserialisierungs-Payloads für den typlosen Modus von MessagePack C#

Markt für Lösungen im Bereich Privileged Access Management: Leitfaden 2026

NIS2-Konformität: was es bedeutet, wer betroffen ist und wie man konform wird

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Unsere top-artikel

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Download and Install PowerShell 7

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

PowerShell-Umgebungsvariablen

Ein Überblick über den MGM Cyberangriff

Die größten und berüchtigtsten Cyberangriffe der Geschichte

So führen Sie ein PowerShell-Skript aus

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client