首页 > 清静研究 > 清静转达 > 清静通告

Windows域内机械外地攻击清静通告

宣布时间 2019-03-06

误差编号和级别

CVE编号：暂无，，，，，危险级别：高危，，，，， CVSS分值：官方未评定

影响规模

受影响软件以及版本：

Windows域情形

误差概述

来自Shenanigans Labs的清静研究员宣布了一种使用基于资源的约束委派(Resource-Based Constrained Delegation)举行活动目录攻击的方法，，，，，该攻击方法可能对域情形造成严重威胁，，，，，攻击者能够令通俗的域用户以域治理员身份会见外地盘算机的效劳，，，，，实现外地权限提升。。。。。

误差细节

攻击原理

清静研究员Elad Shami在其报告中指出，，，，，无论效劳账号的UserAccountControl属性是否被设TrustedToAuthForDelegation，，，，，效劳自身都可以挪用S4U2Self为恣意用户请求会见自己的TGS效劳票据。。。。。可是当没有设置时，，，，，通过S4U2Self请求获得的TGS效劳票据是不可转发的。。。。。

若是通过S4U2Self获得的TGS效劳票据被标记为可转发，，，，，则该票据可以在接下来的S4U2Proxy中被使用，，，，，而不可转发的TGS效劳票据是无法通过S4U2Proxy转发到其他效劳举行古板的约束委派认证的。。。。。

可要害在于，，，，，不可转发的TGS效劳票据竟然可以用于基于资源的约束委派。。。。。S4U2Proxy会吸收这张不可转发的TGS效劳票据，，，，，请求相关效劳并最后获得一张可转发的TGS 效劳票据。。。。。

攻击流程

引用报告中原图说明该攻击办法：

万利国际官网(中国游)有限公司

若是能够在B上设置基于资源的约束委派让效劳A会见（拥有修改效劳B的msDS-AllowedToActOnBehalfOfOtherIdentity属性权限），，，，，并通过效劳A使用S4U2Self向域控制器请求恣意用户会见自身的TGS 效劳票据，，，，，最后再使用S4U2Proxy转发此票据去请求会见效劳B的TGS效劳票据，，，，，那么就将能模拟恣意用户会见B的效劳！

修复建议

缓解步伐：

1. 在高权限账户属性设置中，，，，，将其设置为“敏感账户，，，，，不可被委派”。。。。。

2. 将高权限账户加入被�；；；；；ぷ�。。。。。

3. 启用LDAP署名和channel binding能修复通过NTLM中继的外地提权。。。。。

参考链接

https://shenaniganslabs.io/2019/01/28/Wagging-the-Dog.html

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

软件升级

投资者关系

清静研究