Владислав Девиер пишет:

⚠️ ESC4 — это эскалация привилегий в домене за счет уязвимой настройки прав доступа (ACL) на объекте шаблона сертификата в AD CS. Если в списке управления доступом шаблона есть записи, позволяющие непривилегированным пользователям изменять свойства этого шаблона, злоумышленник может модифицировать шаблон сертификата и тем самым привнести в него опасные настройки. Атакующий с некорректно выданными правами на шаблон сам делает его уязвимым, внося изменения, а затем эксплуатирует их. 🔥Неправильный ACL шаблона сертификата. 🔥 Возможность выпуска сертификата. 🔥 Аутентификация в домене Реализация 1.Надо найти шаблон с правами ➡️WriteProperty — изменение параметров шаблона. ➡️ WriteDACL — изменение прав доступа. ➡️ WriteOwner — смена владельца. ➡️ GenericAll, GenericWrite, Full Control — полный или почти полный контроль. 2.Далее злоумышленник редактирует свойства шаблона ESC4, чтобы сделать его небезопасным. Тут может быть возможно включить флаг

Dfir.exe 👁 1️⃣ Событие Event ID 4899 изменение шаблона 2️⃣ Анализ события Event ID 4900 изучение прав которые теперь доступны. 3️⃣ По событию Event ID 4898 можно написать сигма правило условно для chainsaw чтоб сканировать журналы и выявлять уязвимые шаблоны, что потенциально уже может быть проанализировано. В таком случае правило должно анализировать Security Descriptor и давать алерт на потенциально уязвимый к атаке ESC4 шаблон. *️⃣В ресерче от BI.ZONE так же описано что есть настройка позволяющая генерировать события Event ID 4662 и 5136, но глядя на реалии атаки и так достаточно продвинутые, а вероятность что у заказчика такое будет настроено мала. Но как факт. Если данная настройка все же включена - можно на всякий в правило вписать и это. Впрочем грепнуть по достаточно специфичным номерам ивентов тоже не долго и в ручную. Другое дело что атака не частая и чтоб не пропустить я б задумался о написании правила. 4️⃣Ну и наличие утилит типа certipy,cerify и rubius заставит задуматься.

ESC2 и ESC3 я пропустил, универсальных детектов под них нет, нужно изучать события и исходить из ситуации.

Полезные источники:

Все тот же ресерч Бизонов(большой труд, чем больше вчитываешься - понимаешь что было потрачено много времени чтоб собрать все вместе)
У этого я не нашел паблик ресерчей
Вообще подтверждения что данный мисконфиг в реал лайфе юзали.
https://book.hacktricks.wiki/en/windows-hardening/active-directory-methodology/ad-certificates/domain-escalation.html