微軟在2014年11月18日發(fā)布了緊急補(bǔ)丁,修復(fù)了Kerberos域用戶提權(quán)漏洞����。該漏洞可導(dǎo)致活動目錄整體權(quán)限控制受到影響,允許攻擊者將域內(nèi)任意用戶權(quán)限提升至域管理級別��。通俗的將���,如果攻擊者獲取了域內(nèi)任何一臺計算機(jī)的Shell權(quán)限��,同時知道任意域用戶的用戶名����、密碼��,即可獲得域管理員權(quán)限�����,進(jìn)而控制域控制器��,最終獲取域權(quán)限。
這個漏洞產(chǎn)生的原因是:用戶在向Kerberos密鑰分發(fā)中心(KDC)申請TGT(由票據(jù)授權(quán)服務(wù)產(chǎn)生的身份憑證)時�����,可以偽造自己的Kerberos票據(jù)��。如果票據(jù)聲明自己有域管理員權(quán)限���,而KDC在處理用戶票據(jù)時未驗(yàn)證票據(jù)的簽名��,那么����,返給用戶的TGT就使普通域用戶擁有了域管理員權(quán)限�����。該用戶可以將TGT發(fā)送到KDC����,KDC的TGS(票據(jù)授權(quán)服務(wù))在驗(yàn)證TGT后�,將服務(wù)票據(jù)發(fā)送給該用戶,而該用戶擁有訪問該服務(wù)的權(quán)限����,從而使攻擊者可以訪問域內(nèi)的資源�。
1|2Kerberos域用戶提權(quán)漏洞防御
開啟Windows Update功能�����,進(jìn)行自動修復(fù)
手動下載補(bǔ)丁包進(jìn)行修復(fù)
對域內(nèi)賬號進(jìn)行控制�,禁止使用弱口令,及時�����、定期修改密碼
在服務(wù)器上安裝反病毒軟件�,及時更新病毒庫
2|0跨域攻擊
2|1跨域攻擊方法分析
常見的跨域攻擊方法有:常規(guī)滲透方法(例如利用Web漏洞跨域獲得權(quán)限);利用已知散列值進(jìn)行哈希傳遞攻擊或票據(jù)傳遞攻擊(例如域控制器本地管理員密碼可能相同)�����;利用域信任關(guān)系進(jìn)行跨域攻擊��。
2|2利用域信任關(guān)系的跨域關(guān)系的分析
域信任的作用是解決多域環(huán)境中的跨資源共享問題���。
域環(huán)境不會無條件的接收來自其他域的憑證����,只會接收來自受信任的域的驗(yàn)證。在默認(rèn)情況下��,特定的Windows域中的所有用戶都可以通過該域中的資源進(jìn)行身份驗(yàn)證�,通過這種方式,域可以為其用戶提供對該域中所有資源的安全訪問機(jī)制����。如果用戶想要訪問當(dāng)前域邊界以外的資源,需要使用信任域�。
域信任作為域的一種機(jī)制,允許另一個域的用戶在通過身份驗(yàn)證后訪問本域中的資源����。同時,域信任利用DNS服務(wù)器定位兩個不同的子域的域控制器�����,如果兩個域中的域控制器都無法找得到另一個域�����,也就不存在通過域信任關(guān)系進(jìn)行跨域資源共享了�����。
域信任關(guān)系簡介
域信任關(guān)系分為單向信任和雙向信任兩種:
單向信任是指在兩個域之間創(chuàng)建的信任路徑�����,即在一個方向上是信任流�����,在另一個方向上是訪問流��。在受信任域和信任域之間的單向信任中����,受信任域內(nèi)的用戶(或者計算機(jī))可以訪問信任域內(nèi)的資源,但信任域內(nèi)的用戶無法訪問受信任域內(nèi)的資源�。
雙向信任是指兩個單向信任的組合。信任域和受信任域彼此信任�����,在兩個方向上都有信任流和訪問流�。這意味著,可以從兩個方向在兩個域之間傳遞身份驗(yàn)證請求�。活動目錄中的所有域信任關(guān)系都是雙向可傳遞的�����。
域信任關(guān)系也可以分為內(nèi)部信任和外部信任兩種:
在默認(rèn)情況下,使用活動目錄安裝向?qū)⑿掠蛱砑拥接驑浠蛘吡指蛑���,會自動?chuàng)建雙向可傳遞信任��。在現(xiàn)有林中創(chuàng)建域樹時�,將建立新的樹根信任�,當(dāng)前域樹中的兩個或者多個域之間的信任關(guān)系稱為內(nèi)部信任。
外部信任是指兩個不同林中的域的信任的關(guān)系��。外部信任是不可傳遞的�。但是,林信任關(guān)系可能是可傳遞的�����,也可能是不可傳遞的��,者這取決于所使用的的林間信任類型�。
2|3防范跨域攻擊
內(nèi)網(wǎng)中的Web應(yīng)用比公網(wǎng)中的Web應(yīng)用更脆弱。放置在公網(wǎng)中的Web應(yīng)用服務(wù)器往往會配置WAF等設(shè)備����,還會有專業(yè)的維護(hù)人員定期進(jìn)行安全檢查��。而放置在內(nèi)網(wǎng)中的Web應(yīng)用服務(wù)器大多為內(nèi)部辦公室使用��,所以,其安全性受重視程度較低���,往往會使用弱口令或者存在未及時修復(fù)的補(bǔ)丁�����。
攻擊者在獲取當(dāng)前域的域控制器的權(quán)限后��,會檢查域控制器的本地管理員密碼是否與其他域的域控制器本地管理員密碼相同����,以及在兩個域之間的網(wǎng)絡(luò)沒有被隔離的情況下是否可以通過哈希傳遞進(jìn)行橫向攻擊等�。在很多公司中,雖然為不同的部門劃分了不同的域����,但域管理員可能是同一批人,因此可能出現(xiàn)域管理員的用戶名和密碼相同的情況�。
在日常網(wǎng)絡(luò)維護(hù)中,需要養(yǎng)成良好的安全習(xí)慣����,才能有效地防范跨域攻擊����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
