專家發布用于 Kerberos Bronze Bit 攻擊的 PoC 漏洞利用代碼
kerberos Bronze bit攻擊的概念驗證漏洞利用代碼在線發布,它使入侵者可以繞過身份驗證并訪問敏感的網絡服務。
Kerberos Bronze Bit 攻擊的概念驗證利用代碼于本周在網上發布。攻擊者可以利用黑客技術繞過Windows環境的Kerberos身份驗證協議,并訪問敏感的網絡連接服務。
微軟最初在2020年11月補丁星期二解決了Bronze Bit攻擊的漏洞,但一些Windows 10用戶開始報告Kerberos身份驗證問題。
“在環境中的域控制器(DC)和只讀域控制器(RODC)上安裝KB4586786之后 ,您可能會遇到Kerberos身份驗證問題,”微軟報道。
本周,在Microsoft發布了有關安全問題的最終補丁之后,來自NetSPI的安全專家Jake Karnes發布了該漏洞的技術細節。
Karnes解釋說,Kerberos Bronze Bit攻擊是Benjamin Delpy發現的Golden Ticket攻擊的變種。以及繞過Kerberos身份驗證的Silver Ticket攻擊。
與Golden Ticket,Silver Ticket不同,Bronze Bit攻擊的目標是Microsoft作為Kerberos協議擴展添加的用戶自服務(S4U2self)和用戶代理服務(S4U2proxy)協議。
在攻擊場景中,入侵者最初入侵了目標網絡上的一個系統,并且感染了網絡上至少一個系統并提取了密碼哈希的攻擊者可以使用哈希繞過和偽造憑據,從而繞過Kerberos身份驗證協議訪問同一網絡上的其他系統。
攻擊使用服務的密碼哈希,利用S4U2self協議來獲取針對受攻擊服務的目標用戶的服務票證。
通過將“ Forwardable”位翻轉為1來操縱服務憑單,然后在S4U2proxy協議中使用它來獲取目標用戶到目標服務的服務憑單。
造成攻擊的根本原因是未簽名包含可轉發標志的Kerberos服務票證組件,并且Kerberos進程無法檢測服務票證操縱。
“仔細檢查轉發標記在響應中的位置。服務票證的可轉發標志已使用Service1的長期加密。轉發標志不在已簽名的PAC中。Service1可以自由解密,將Forwardable標志的值設置為1,然后重新加密服務票證。因為它不在已簽名的PAC中,所以KDC無法檢測到該值已被篡改。” 閱讀Karnes發表的帖子
下面是專家發表的結論:
- 我們已繞過TrustedToAuthForDelegation的保護和“信任此計算機僅委派給指定服務–僅使用Kerberos”配置。通過確保在S4U2self交換中收到的任何服務票證都是不可轉發的,可以強制實施此保護,除非請求的服務是TrustedToAuthForDelegation。通過自己設置可轉發標志,我們有效地消除了這種區別,并使服務能夠執行協議轉換,就好像該服務配置了“信任此計算機以僅委派給指定的服務-使用任何身份驗證協議”選項一樣。
- 我們也繞過了不允許委派的帳戶的保護措施。同樣,通過確保代表受保護帳戶在S4U2self交換中收到的任何服務票證均不可轉發,可以強制執行此操作。通過將其轉換為可轉發的服務票證,該服務現在可以委派該帳戶的身份驗證,就好像沒有這種保護一樣。
