← Alertas
Otro Activa

Escalación en Active Directory Certificate Services: técnica activa usada por grupos APT documentada por Unit 42

Unit 42 documentó cómo atacantes explotan plantillas mal configuradas en AD CS para escalar privilegios hasta Domain Admin. El grupo Fighting Ursa (APT ruso) ya utiliza activamente estas técnicas.

2026-05-23 · Unit 42 — Palo Alto Networks

Contexto

Active Directory Certificate Services (AD CS) es el componente de Windows que gestiona certificados digitales dentro de una organización. Unit 42 documentó cómo atacantes abusan de plantillas de certificados mal configuradas (técnica conocida como ESC1) y de credenciales en la sombra para obtener permisos de Domain Admin — el nivel más alto de control en una red Windows. El grupo Fighting Ursa, vinculado a inteligencia rusa, ya utiliza activamente estas técnicas en campañas documentadas.

Impacto potencial

Organizaciones con Active Directory y AD CS activado son vulnerables si las plantillas de certificados no están auditadas. El atacante que explota esta vía obtiene control total del dominio Windows: acceso a todos los servidores, usuarios y recursos de red. Es una de las rutas de escalación de privilegios más sigilosas disponibles en entornos corporativos Windows.

Recomendaciones

Leer fuente original →