微軟Kerberos舊漏洞又贏新關(guān)注

責任編輯:editor005

作者:Michael Heller

2015-12-18 14:30:04

摘自:TechTarget中國

根據(jù)一篇博客爆料,在Kerberos部署中存在大量身份驗證漏洞,特別是針對微軟的,這激起了人們對舊的但危險的漏洞進行新的認知。

根據(jù)一篇博客爆料,在Kerberos部署中存在大量身份驗證漏洞,特別是針對微軟的,這激起了人們對舊的但危險的漏洞進行新的認知。

安全研究員詳解了各種通過使用pass-the-ticket、pass-the-hash或偽造特權(quán)屬性證書繞過身份驗證系統(tǒng)來攻擊Kerberos的方法。在最為嚴重的漏洞中,攻擊者能夠在微軟Kerberos環(huán)境中創(chuàng)建一個黃金通行證(golden ticket),使其具備管理員權(quán)限,為現(xiàn)有用戶或并不存在的新用戶創(chuàng)建秘密密碼。

這是因為在微軟Kerberos中密鑰分發(fā)中心(KDC)會對使用krbtgt用戶密鑰的通行授予(TGT)和PAC數(shù)據(jù)進行加密和標記,這都是默認情況下創(chuàng)建的。該漏洞更具有危險性,因為krbtgt賬戶被禁用且不使用,所以密碼很少更改,微軟Kerberos將與用戶名有關(guān)的兩個曾用明碼存在內(nèi)存中。

在博客中,博主指出可以獲取密鑰的多種方法,且一旦拿到了密鑰,攻擊者在用戶驗證前有20分鐘的自由時間,在此期間,黃金通行證可以創(chuàng)建無限的訪問。

該漏洞使用偽造的PAC或生成對只對軟Kerberos(而不對MIT Kerberos)造成影響的金/銀通行證,因為微軟使用專有PAC授權(quán)擴展。

麻省理工學院企業(yè)架構(gòu)師Jeff Schiller和Kerberos認證系統(tǒng)的創(chuàng)始人一員證實了這種身份驗證漏洞是針對微軟的Kerberos的。

“ktbtgt用戶賬戶應該具備一個不是密碼的密鑰。在MIT部署中,它是隨機選擇的。”Schiller說道,“Kerberos的要求之一是KDC必須是安全的。它包含著所有的用戶隱私。如果KDC被攻陷,那么一切都玩完。將KDC置于帶有很多其他服務的域控制器中增加了攻擊風險,使得攻擊者更有攻擊的機會。”

根據(jù)該博客,為ktbtgt賬戶連續(xù)更改兩次密碼可阻止新的通行生成,依次定期修改密碼可降低曝光的風險,因為在緩解攻擊方面沒有什么特別奏效的方式。

“緩解大部分這些攻擊不太可能,因為這還只是Kerberos在Windows環(huán)境中的工作。大多數(shù)情況下,你要不惜代價關(guān)注于保護特權(quán)賬戶,因為保護所有賬戶是不太可能的,況且這是攻擊者所好。否則你將失去更多。目前最有效的緩解措施當屬保護用戶組(Protected Users group)和認證衛(wèi)士(Credential Guard)。”

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號