Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
EnglishEspañolItalianoFrançaisDeutschPortuguês한국어日本語中文
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinarMicrosoft Alliance
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBlog
Come ho ottenuto Domain Admin tramite SafeNet Agent per il login di Windows attraverso ESC1

Come ho ottenuto Domain Admin tramite SafeNet Agent per il login di Windows attraverso ESC1

Feb 2, 2026

Netwrix ha scoperto che le versioni 4.0.0–4.1.2 di SafeNet Agent per Windows Logon creano per impostazione predefinita un modello di certificato AD CS insicuro, abilitando un percorso ESC1 che consente a qualsiasi utente autenticato di elevare i propri privilegi a Domain Admin. Thales ha risolto il problema nella versione 4.1.3 limitando l'iscrizione ai certificati all'account di servizio NDES.

Descrizione

Netwrix Security Research ha recentemente segnalato un rischio di sicurezza relativo a Thales’ SafeNet Agent for Windows Logon versioni 4.0.0, 4.1.1, e 4.1.2. Per design, l'agente si basa su un modello di certificato nei servizi di certificazione di Active Directory (AD CS), e la configurazione di quel modello crea un percorso ESC1. Questo consente agli utenti autenticati di elevare i privilegi a Domain Admin, anche se il modello è destinato a supportare la funzionalità di accesso a Windows senza password.

SafeNet Agent per Windows Logon è un componente leggero installato su macchine Windows per rafforzare la sicurezza del login con autenticazione a più fattori (MFA). Aiuta a garantire che le risorse sensibili siano accessibili solo da utenti autorizzati e protegge le applicazioni desktop e i processi che si basano su CredUI. In questo modo, è destinato a fornire un'esperienza di accesso sicura e coerente per gli utenti finali. Il Login Windows senza password, che si basa su SafeNet Agent per Windows Logon, rimuove la necessità di password quando si accede alla macchina e ad altre risorse. Il Login Windows senza password utilizza MFA basata su certificati X.509 (PKI) ed è progettato come punto di ingresso per le organizzazioni che iniziano il loro passaggio verso l'autenticazione senza password. Aiuta a ridurre le chiamate al servizio di assistenza per il reset delle password, fornisce ai dipendenti un'esperienza di accesso più fluida che supporta la produttività e prepara l'ambiente per una più ampia adozione dell'autenticazione senza password e moderna.

Ecco un diagramma architetturale di alto livello della soluzione di accesso a Windows senza password e di come i suoi componenti interagiscono.

Image
Figure 1. High-level diagram of Passwordless Windows Logon between the user device, STA, the SCEP server, and ADCS.

Come accennato in precedenza, l'installazione richiede un AD CS e la creazione di un modello di certificato per abilitare il login senza password. Thales fornisce anche un file ZIP nella documentazione ufficiale che contiene due script PowerShell per automatizzare queste attività.

Image
Figure 2. Official setup steps for Passwordless Windows Logon.

Quando estraiamo il file ZIP che viene fornito con l'installazione, troviamo un interessante file JSON chiamato CertTemplate.json, che viene utilizzato per automatizzare e popolare il modello di certificato. La prima cosa che ha colpito è stata l'insieme di Extended Key Usages che consentono l'autenticazione, combinato con msPKI-Certificate-Name-Flag impostato su 1, che abilita il ENROLLEE_SUPPLIES_SUBJECT flag. Se sei familiare con l'abuso di AD CS, questa configurazione suggerisce fortemente un problema in stile ESC1.

Image
Figure 3. CertTemplate.json showing the WLAPwdlessLogon certificate template, including its display name, authentication EKU OIDs, and msPKI-Certificate-Name-Flag set to 1 (ENROLLEE_SUPPLIES_SUBJECT).

Questo script installa gli strumenti PowerShell richiesti per Active Directory e AD CS, quindi crea un nuovo modello di certificato AD CS chiamato WLAPwdlessLogon utilizzando le impostazioni di CertTemplate.json e lo pubblica. Dopo di che, concede il permesso di iscrizione al gruppo Authenticated Users sul modello e riavvia il servizio Certificate Services.

Image
Figure 4. The CreateCertTemplate.ps1 script uses grant_enroll_permission to assign Enroll rights on the WLAPwdlessLogon certificate template to Authenticated Users. Figure 4. The CreateCertTemplate.ps1 script uses grant_enroll_permission to assign Enroll rights on the WLAPwdlessLogon certificate template to Authenticated Users.

Eseguire lo script PowerShell nel nostro laboratorio conferma che il modello è stato creato e che agli Utenti Autenticati è stato concesso il permesso di Registrazione.

Image
Figure 5. Output from CreateCertTemplate.ps1 showing the WLAPwdlessLogon template created and Enroll permission granted to Authenticated Users. Figure 5. Output from CreateCertTemplate.ps1 showing the WLAPwdlessLogon template created and Enroll permission granted to Authenticated Users.

Dopo aver pubblicato il modello di certificato, abbiamo verificato se fosse effettivamente vulnerabile eseguendo Certify.exe per elencare i modelli non sicuri. L'output mostra che tutte le condizioni ESC1 sono soddisfatte, il che significa che questo modello consente a qualsiasi utente autenticato di ottenere i privilegi di Domain Admin.

Image
Figure 6. Certify output showing the WLAPwdlessLogon template with ENROLLEE_SUPPLIES_SUBJECT set, client/smart card logon EKUs, and Enroll rights granted to Authenticated Users. Figure 6. Certify output showing the WLAPwdlessLogon template with ENROLLEE_SUPPLIES_SUBJECT set, client/smart card logon EKUs, and Enroll rights granted to Authenticated Users.

Possiamo ora richiedere un certificato per qualsiasi account utente o computer e utilizzare ESC1 per impersonare quell'identità, incluso un Domain Admin. In questo esempio, lo faremo con il MSOL_1191fa1e45e4 account, perché ha permessi DCSync.

Image
Figure 7. Using Certipy to request a certificate for the MSOL_1191fa1e45e4 account via the vulnerable WLAPwdlessLogon template.

A questo punto, possiamo richiedere un TGT Kerberos per questa identità e usarlo per muoverci lateralmente come quell'account.

Image
Figure 8. Rubeus using the MSOL certificate to request a Kerberos TGT via PKINIT, successfully returning a ticket for the MSOL_1191fa1e45e4 account.

Cronologia delle divulgazioni

  • Abbiamo segnalato questo problema di sicurezza a Thales PSIRT il 24 novembre 2025, inclusa una prova di concetto che mostra che il prodotto è vulnerabile per design e consente agli utenti autenticati di utilizzare ESC1 per raggiungere il Domain Admin. Thales ha riconosciuto la segnalazione lo stesso giorno e l'ha escalata al team responsabile della soluzione.
  • Il 28 novembre 2025, abbiamo contattato Thales per richiedere un aggiornamento su questo caso, poiché riteniamo rappresenti un significativo difetto di progettazione.
  • Il 4 dicembre 2025, Thales ha risposto che stavano ancora aspettando un feedback dal loro team di ingegneria.
  • Il 10 dicembre 2025, Netwrix Security Research ha seguito per richiedere un aggiornamento.
  • Il 12 dicembre 2025, Thales ha confermato che il proprio team di ingegneria aveva identificato il problema e stava lavorando sia a una soluzione che a un bollettino di sicurezza per informare i clienti.
  • Il 5 gennaio 2026, Netwrix Security Research ha seguito nuovamente per chiedere un aggiornamento sul bollettino di sicurezza Thales riguardante le mitigazioni per questo problema.
  • Il 12 gennaio 2026, Thales ha risposto e confermato di aver emesso un bollettino di sicurezza e rilasciato una versione aggiornata del prodotto che mitiga il problema.

Mitigazione

Al momento della scrittura, Thales aveva riservato CVE-2026-0872 e ha pubblicato un bollettino di sicurezza raccomandando ai clienti di aggiornare SafeNet Agent per Windows Logon alla versione 4.1.3 per mitigare il problema.

Image

Nella versione aggiornata, le linee guida del modello AD CS sono state riviste.Utenti autenticati non hanno più Diritti di registrazione, e solo il account di servizio NDES è autorizzato a registrarsi per questo modello.

Image
Figure 10. Official documentation updated the certificate template configuration to modify security permissions required for Passwordless Windows Logon enrollment. https://thalesdocs.com/sta/agents/wla-windows_logon/wla-preinstallation_passwordless/index.html
Image
Figure 11. Shows CreateCertTemplate.ps1 updated the certificate template to remove Enroll permissions from Authenticated Users and grant Enroll only to the NDES service account.

Se rieseguiamo Certify.exe, possiamo confermare che Read/Enroll i permessi sono ora limitati all' account di servizio NDES, e Utenti Autenticati non hanno più quei diritti.

Image
Figure 12. Certify.exe shows Enroll is now limited to the NDES service account.

Conclusione

Questo caso mostra un esempio reale di un prodotto MFA che può comunque introdurre rischi significativi se si basa su un design AD CS scadente. La funzionalità senza password è stata costruita su un modello di certificato che consente a qualsiasi utente autenticato di richiedere un certificato con EKU di autenticazione client e ENROLLEE_SUPPLIES_SUBJECT, e lo script del fornitore concede anche per impostazione predefinita l'iscrizione agli utenti autenticati. Insieme, questo trasforma una funzionalità di sicurezza in un percorso ESC1 pronto all'uso per l'amministratore di dominio.

Riferimenti

Domande frequenti

Condividi su

Scopri di più

Informazioni sull'autore

Author default

Huy Kha

Direttore della Ricerca sulla Sicurezza

Ultimi blog

Come ho ottenuto Domain Admin tramite SafeNet Agent per il login di Windows attraverso ESC1

Introduction to Netwrix's Security Research

Generazione di payload di deserializzazione per la modalità senza tipo di MessagePack C#

Mercato delle soluzioni di Privileged Access Management: guida 2026

Conformità a NIS2: cosa significa, chi è interessato e come conformarsi

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Gestione della configurazione per il controllo sicuro degli endpoint

Classificazione dei dati e DLP: Prevenire la perdita di dati, dimostrare la conformità

Conformità CMMC e il ruolo critico del controllo USB in stile MDM nella protezione del CUI

DSPM, ASM e ITDR: Costruire una strategia di sicurezza guidata dai dati e consapevole delle esposizioni

I nostri articoli principali

Comandi PowerShell essenziali: una guida rapida per principianti

Scarica e installa PowerShell 7

Tipi comuni di dispositivi di rete e le loro funzioni

Come installare e utilizzare Active Directory Users and Computers (ADUC)?

Come eseguire uno script PowerShell da Task Scheduler

Variabili d'ambiente PowerShell

Panoramica dell'attacco informatico MGM

Gli attacchi informatici più grandi e noti della storia

Come eseguire uno script PowerShell

Guida al montaggio di condivisioni Unix con un client NFS Windows