Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
EnglishEspañolItalianoFrançaisDeutschPortuguês
Solutions
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Acheter Maintenant Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinarsMicrosoft Alliance
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Comment j'ai obtenu les droits d'administrateur de domaine via SafeNet Agent pour la connexion Windows à travers ESC1

Comment j'ai obtenu les droits d'administrateur de domaine via SafeNet Agent pour la connexion Windows à travers ESC1

Feb 2, 2026

Netwrix a découvert que les versions 4.0.0–4.1.2 de SafeNet Agent pour Windows Logon créent par défaut un modèle de certificat AD CS non sécurisé, permettant un chemin ESC1 qui permet à tout utilisateur authentifié de s'élever au rang d'Administrateur de Domaine. Thales a corrigé le problème dans la version 4.1.3 en restreignant l'inscription des certificats au compte de service NDES.

Description

Recherche en sécurité Netwrix a récemment signalé un risque de sécurité lié à SafeNet Agent for Windows Logon versions 4.0.0, 4.1.1, et 4.1.2. Par conception, l'agent s'appuie sur un modèle de certificat dans les services de certificats Active Directory (AD CS), et la configuration de ce modèle crée un chemin ESC1. Cela permet aux utilisateurs authentifiés de s'élever au niveau d'administrateur de domaine, même si le modèle est destiné à prendre en charge la fonctionnalité de connexion Windows sans mot de passe.

SafeNet Agent for Windows Logon est un composant léger installé sur les machines Windows pour renforcer la sécurité de la connexion avec une authentification multi-facteurs (MFA). Il aide à garantir que les ressources sensibles ne sont accessibles que par des utilisateurs autorisés et sécurise les applications de bureau et les processus qui s'appuient sur CredUI. Ce faisant, il vise à fournir une expérience de connexion sécurisée et cohérente pour les utilisateurs finaux. La connexion Windows sans mot de passe, qui est basée sur SafeNet Agent for Windows Logon, supprime le besoin de mots de passe lors de l'accès à la machine et à d'autres ressources. La connexion Windows sans mot de passe utilise MFA basée sur des certificats X.509 (PKI) et est conçue comme un point d'entrée pour les organisations qui commencent leur transition vers l'authentification sans mot de passe. Elle aide à réduire les appels au service d'assistance pour les réinitialisations de mots de passe, offre aux employés une expérience de connexion plus fluide qui soutient la productivité et prépare l'environnement à une adoption plus large de l'authentification sans mot de passe et moderne.

Voici un diagramme d'architecture de haut niveau de la solution de connexion Windows sans mot de passe et comment ses composants interagissent.

Image
Figure 1. High-level diagram of Passwordless Windows Logon between the user device, STA, the SCEP server, and ADCS.

Comme mentionné précédemment, l'installation nécessite un AD CS et la création d'un modèle de certificat pour activer la connexion sans mot de passe. Thales fournit également un fichier ZIP dans la documentation officielle contenant deux scripts PowerShell pour automatiser ces tâches.

Image
Figure 2. Official setup steps for Passwordless Windows Logon.

Lorsque nous extrayons le fichier ZIP qui accompagne l'installation, nous trouvons un fichier JSON intéressant nommé CertTemplate.json, qui est utilisé pour automatiser et remplir le modèle de certificat. La première chose qui a attiré mon attention était l'ensemble des usages de clé étendus qui permettent l'authentification, combinés avec msPKI-Certificate-Name-Flag défini sur 1, ce qui active le ENROLLEE_SUPPLIES_SUBJECT drapeau. Si vous êtes familier avec les abus d'AD CS, cette configuration suggère fortement un problème de style ESC1.

Image
Figure 3. CertTemplate.json showing the WLAPwdlessLogon certificate template, including its display name, authentication EKU OIDs, and msPKI-Certificate-Name-Flag set to 1 (ENROLLEE_SUPPLIES_SUBJECT).

Ce script installe les outils PowerShell requis pour Active Directory et AD CS, puis crée un nouveau modèle de certificat AD CS appelé WLAPwdlessLogon en utilisant les paramètres de CertTemplate.json et le publie. Après cela, il accorde au groupe Authenticated Users la permission d'inscription sur le modèle et redémarre le service des services de certificats.

Image
Figure 4. The CreateCertTemplate.ps1 script uses grant_enroll_permission to assign Enroll rights on the WLAPwdlessLogon certificate template to Authenticated Users. Figure 4. The CreateCertTemplate.ps1 script uses grant_enroll_permission to assign Enroll rights on the WLAPwdlessLogon certificate template to Authenticated Users.

L'exécution du script PowerShell dans notre laboratoire confirme que le modèle est créé et que les utilisateurs authentifiés se voient accorder la permission d'inscription.

Image
Figure 5. Output from CreateCertTemplate.ps1 showing the WLAPwdlessLogon template created and Enroll permission granted to Authenticated Users. Figure 5. Output from CreateCertTemplate.ps1 showing the WLAPwdlessLogon template created and Enroll permission granted to Authenticated Users.

Après avoir publié le modèle de certificat, nous avons vérifié s'il était réellement vulnérable en exécutant Certify.exe pour lister les modèles non sécurisés. La sortie montre que toutes les conditions ESC1 sont remplies, ce qui signifie que ce modèle permet à tout utilisateur authentifié d'escalader au niveau d'administrateur de domaine.

Image
Figure 6. Certify output showing the WLAPwdlessLogon template with ENROLLEE_SUPPLIES_SUBJECT set, client/smart card logon EKUs, and Enroll rights granted to Authenticated Users. Figure 6. Certify output showing the WLAPwdlessLogon template with ENROLLEE_SUPPLIES_SUBJECT set, client/smart card logon EKUs, and Enroll rights granted to Authenticated Users.

Nous pouvons maintenant demander un certificat pour n'importe quel compte utilisateur ou ordinateur et utiliser ESC1 pour usurper cette identité, y compris un administrateur de domaine. Dans cet exemple, nous allons le faire avec le MSOL_1191fa1e45e4 compte, car il a des permissions DCSync.

Image
Figure 7. Using Certipy to request a certificate for the MSOL_1191fa1e45e4 account via the vulnerable WLAPwdlessLogon template.

À ce stade, nous pouvons demander un TGT Kerberos pour cette identité et l'utiliser pour nous déplacer latéralement en tant que ce compte.

Image
Figure 8. Rubeus using the MSOL certificate to request a Kerberos TGT via PKINIT, successfully returning a ticket for the MSOL_1191fa1e45e4 account.

Chronologie de divulgation

  • Nous avons signalé ce problème de sécurité à Thales PSIRT le 24 novembre 2025, y compris une preuve de concept montrant que le produit est vulnérable par conception et permet aux utilisateurs authentifiés d'utiliser ESC1 pour atteindre l'administrateur de domaine. Thales a reconnu le rapport le même jour et l'a transmis à l'équipe responsable de la solution.
  • Le 28 novembre 2025, nous avons contacté Thales pour demander une mise à jour sur ce cas, car nous croyons qu'il représente un défaut de conception significatif.
  • Le 4 décembre 2025, Thales a répondu qu'ils attendaient toujours des retours de leur équipe d'ingénierie.
  • Le 10 décembre 2025, Netwrix Security Research a fait un suivi pour demander une mise à jour.
  • Le 12 décembre 2025, Thales a confirmé que son équipe d'ingénierie avait identifié le problème et travaillait à la fois sur une solution et un bulletin de sécurité pour informer les clients.
  • Le 5 janvier 2026, Netwrix Security Research a de nouveau suivi pour demander une mise à jour sur le bulletin de sécurité Thales couvrant les mesures d'atténuation pour ce problème.
  • Le 12 janvier 2026, Thales a répondu et a confirmé qu'ils avaient publié un bulletin de sécurité et sorti une version mise à jour du produit qui atténue le problème.

Atténuation

Au moment de la rédaction, Thales avait réservé CVE-2026-0872 et a publié un bulletin de sécurité recommandant aux clients de mettre à jour SafeNet Agent pour Windows Logon vers la version 4.1.3 pour atténuer le problème.

Image

Dans la version mise à jour, les directives du modèle AD CS ont également été révisées.Utilisateurs authentifiés n'ont plus le droit de s'inscrire, et seul le compte de service NDES est autorisé à s'inscrire pour ce modèle.

Image
Figure 10. Official documentation updated the certificate template configuration to modify security permissions required for Passwordless Windows Logon enrollment. https://thalesdocs.com/sta/agents/wla-windows_logon/wla-preinstallation_passwordless/index.html
Image
Figure 11. Shows CreateCertTemplate.ps1 updated the certificate template to remove Enroll permissions from Authenticated Users and grant Enroll only to the NDES service account.

Si nous relançons Certify.exe, nous pouvons confirmer que Read/Enroll les permissions sont désormais limitées au compte de service NDES, et Utilisateurs authentifiés n'ont plus ces droits.

Image
Figure 12. Certify.exe shows Enroll is now limited to the NDES service account.

Conclusion

Ce cas montre un exemple concret d'un produit MFA qui peut encore introduire un risque significatif s'il repose sur une mauvaise conception de l'AD CS. La fonctionnalité sans mot de passe a été construite sur un modèle de certificat qui permet à tout utilisateur authentifié de demander un certificat avec des EKU d'authentification client et ENROLLEE_SUPPLIES_SUBJECT, et le script du fournisseur accorde même par défaut l'inscription aux utilisateurs authentifiés. Ensemble, cela transforme une fonctionnalité de sécurité en un chemin ESC1 prêt à l'emploi vers l'administrateur de domaine.

Références

FAQ

Partager sur

En savoir plus

À propos de l'auteur

Author default

Huy Kha

Directeur de la Recherche en Sécurité

Derniers blogs

Contrôle d'accès en cybersécurité

Comment sécuriser les données au repos, en cours d'utilisation et en mouvement

Sécurité du travail à distance : le guide complet pour sécuriser l'espace de travail numérique

12 Risques Critiques de Sécurité de Shadow AI que Votre Organisation Doit Surveiller en 2026

Expansion des équipes : Gérer la prolifération de Microsoft Teams

Comment j'ai obtenu les droits d'administrateur de domaine via SafeNet Agent pour la connexion Windows à travers ESC1

Introduction to Netwrix's Security Research

Génération de charges de désérialisation pour le mode sans type de MessagePack C#

Marché des solutions de Privileged Access Management : guide 2026

Conformité NIS2 : ce que cela signifie, qui est concerné et comment se conformer

Nos articles les plus populaires

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Téléchargez et installez PowerShell 7

Variables d'environnement PowerShell

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Comment exécuter un script PowerShell

Un aperçu de l'attaque cybernétique MGM

Types courants d'appareils réseau et leurs fonctions

Supprimer le fichier avec Powershell s'il existe

Tutoriel de script Windows PowerShell pour débutants