您当前位置:首页 > 资讯中心 > 业内新闻

微软Kerberos旧漏洞又赢新关注

根据一篇博客爆料,在Kerberos部署中存在大量身份验证漏洞,特别是针对微软的,这激起了人们对旧的但危险的漏洞进行新的认知。

微软Kerberos旧漏洞又赢新关注

安全研究员详解了各种通过使用pass-the-ticket、pass-the-hash或伪造特权属性证书绕过身份验证系统来攻击Kerberos的方法。在较为严重的漏洞中,攻击者能够在微软Kerberos环境中创建一个黄金通行证(golden ticket),使其具备管理员权限,为现有用户或并不存在的新用户创建秘密密码。

这是因为在微软Kerberos中密钥分发中心(KDC)会对使用krbtgt用户密钥的通行授予(TGT)和PAC数据进行加密和标记,这都是默认情况下创建的。该漏洞更具有危险性,因为krbtgt账户被禁用且不使用,所以密码很少更改,微软Kerberos将与用户名有关的两个曾用明码存在内存中。

在博客中,博主指出可以获取密钥的多种方法,且一旦拿到了密钥,攻击者在用户验证前有20分钟的自由时间,在此期间,黄金通行证可以创建无限的访问。

该漏洞使用伪造的PAC或生成对只对软Kerberos(而不对MIT Kerberos)造成影响的金/银通行证,因为微软使用专有PAC授权扩展。

麻省理工学院企业架构师Jeff Schiller和Kerberos认证系统的创始人一员证实了这种身份验证漏洞是针对微软的Kerberos的。

“ktbtgt用户账户应该具备一个不是密码的密钥。在MIT部署中,它是随机选择的。”Schiller说道,“Kerberos的要求之一是KDC必须是安全的。它包含着所有的用户隐私。如果KDC被攻陷,那么一切都玩完。将KDC置于带有很多其他服务的域控制器中增加了攻击风险,使得攻击者更有攻击的机会。”

根据该博客,为ktbtgt账户连续更改两次密码可阻止新的通行生成,依次定期修改密码可降低曝光的风险,因为在缓解攻击方面没有什么特别奏效的方式。

“缓解大部分这些攻击不太可能,因为这还只是Kerberos在Windows环境中的工作。大多数情况下,你要不惜代价关注于保护特权账户,因为保护所有账户是不太可能的,况且这是攻击者所好。否则你将失去更多。目前较有效的缓解措施当属保护用户组(Protected Users group)和认证卫士(Credential Guard)。”

作者:Grabsun - 发布时间:2015-12-30 - 点击量:4307
公司简介:大势至公司是国内较早的企业网管软件提供商,可以为企事业单位提供整体的企业网络管理方案和企业网络管理平台,通过全系列的公司监控员工电脑软件教你如何控制员工上网、如何控制局域网内电脑上网以及如何保护电脑文件安全等。公司核心产品“聚生网管系统”是一款专门的公司网管必备软件、查看网络流量软件、网络流量监控软件和办公室电脑监控软件;“网络特警”则是一款专门的网络流量监控设备、上网行为管理服务器、网络行为管理设备,可以实现更为强大的局域网网络行为管理;大势至USB接口禁用软件则是一款专门的数据防泄密产品、屏蔽U盘软件、电脑USB端口禁用软件,可以严防通过一切途径泄露电脑文件,保护单位无形资产和商业机密安全;大势至共享文件夹管理软件则是一款专门的共享文件权限设置软件和共享文件设置密码软件,全面保护共享文件安全;大势至共享文件审计系统则是一款专门的服务器共享文件夹设置软件、服务器共享文件访问日志记录软件,可以详细记录局域网用户访问共享文件的行为,更好地管理共享文件的安全;大势至局域网网络准入控制系统则是一款专门防止未经授权的电脑接入公司局域网的行为,防止外来电脑访问局域网共享文件、防止蹭网以及绑定IP和MAC地址,保护网络安全;大势至FTP服务器日志记录软件则是一款专门记录局域网用户访问FTP服务器日志的软件,可以有效保护FTP服务器文件安全。
联系我们