首页 > 清静研究 > 清静转达 > 清静通告

Windows域内机械外地攻击清静通告

宣布时间 2019-03-06

误差编号和级别

CVE编号：暂无，，，，危险级别：高危，，，， CVSS分值：官方未评定

影响规模

受影响软件以及版本：

Windows域情形

误差概述

来自Shenanigans Labs的清静研究员宣布了一种使用基于资源的约束委派(Resource-Based Constrained Delegation)举行活动目录攻击的方法，，，，该攻击方法可能对域情形造成严重威胁，，，，攻击者能够令通俗的域用户以域治理员身份会见外地盘算机的效劳，，，，实现外地权限提升。。。。。。

误差细节

攻击原理

清静研究员Elad Shami在其报告中指出，，，，无论效劳账号的UserAccountControl属性是否被设TrustedToAuthForDelegation，，，，效劳自身都可以挪用S4U2Self为恣意用户请求会见自己的TGS效劳票据。。。。。。可是当没有设置时，，，，通过S4U2Self请求获得的TGS效劳票据是不可转发的。。。。。。

若是通过S4U2Self获得的TGS效劳票据被标记为可转发，，，，则该票据可以在接下来的S4U2Proxy中被使用，，，，而不可转发的TGS效劳票据是无法通过S4U2Proxy转发到其他效劳举行古板的约束委派认证的。。。。。。

可要害在于，，，，不可转发的TGS效劳票据竟然可以用于基于资源的约束委派。。。。。。S4U2Proxy会吸收这张不可转发的TGS效劳票据，，，，请求相关效劳并最后获得一张可转发的TGS 效劳票据。。。。。。

攻击流程

引用报告中原图说明该攻击办法：

南宫NG娱乐(中国)官方网站

若是能够在B上设置基于资源的约束委派让效劳A会见（拥有修改效劳B的msDS-AllowedToActOnBehalfOfOtherIdentity属性权限），，，，并通过效劳A使用S4U2Self向域控制器请求恣意用户会见自身的TGS 效劳票据，，，，最后再使用S4U2Proxy转发此票据去请求会见效劳B的TGS效劳票据，，，，那么就将能模拟恣意用户会见B的效劳！

修复建议

缓解步伐：

1. 在高权限账户属性设置中，，，，将其设置为“敏感账户，，，，不可被委派”。。。。。。

2. 将高权限账户加入被保�；ぷ椤�。。。。。

3. 启用LDAP署名和channel binding能修复通过NTLM中继的外地提权。。。。。。

参考链接

https://shenaniganslabs.io/2019/01/28/Wagging-the-Dog.html

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

软件升级

投资者关系

清静研究