首页 > 清静研究 > 清静转达 > 清静通告

Windows域内机械外地攻击清静通告

宣布时间 2019-03-06

误差编号和级别

CVE编号：暂无，危险级别：高危， CVSS分值：官方未评定

影响规模

受影响软件以及版本：

Windows域情形

误差概述

来自Shenanigans Labs的清静研究员宣布了一种使用基于资源的约束委派(Resource-Based Constrained Delegation)举行活动目录攻击的方法，该攻击方法可能对域情形造成严重威胁，攻击者能够令通俗的域用户以域管理员身份会见外地盘算机的服务，实现外地权限提升。

误差细节

攻击原理

清静研究员Elad Shami在其报告中指出，无论服务账号的UserAccountControl属性是否被设TrustedToAuthForDelegation，服务自身都可以挪用S4U2Self为恣意用户请求会见自己的TGS服务票据。可是当没有设置时，通过S4U2Self请求获得的TGS服务票据是不可转发的。

若是通过S4U2Self获得的TGS服务票据被标记为可转发，则该票据可以在接下来的S4U2Proxy中被使用，而不可转发的TGS服务票据是无法通过S4U2Proxy转发到其他服务举行古板的约束委派认证的。

可要害在于，不可转发的TGS服务票据竟然可以用于基于资源的约束委派。S4U2Proxy会吸收这张不可转发的TGS服务票据，请求相关服务并最后获得一张可转发的TGS 服务票据。

攻击流程

引用报告中原图说明该攻击办法：

耀世娱乐-科技赋能场景,让娱乐更有趣。

若是能够在B上设置基于资源的约束委派让服务A会见（拥有修改服务B的msDS-AllowedToActOnBehalfOfOtherIdentity属性权限），并通过服务A使用S4U2Self向域控制器请求恣意用户会见自身的TGS 服务票据，最后再使用S4U2Proxy转发此票据去请求会见服务B的TGS服务票据，那么就将能模拟恣意用户会见B的服务！

修复建议

缓解步伐：

1. 在高权限账户属性设置中，将其设置为“敏感账户，不可被委派”。

2. 将高权限账户加入被�；ぷ�。

3. 启用LDAP署名和channel binding能修复通过NTLM中继的外地提权。

参考链接

https://shenaniganslabs.io/2019/01/28/Wagging-the-Dog.html

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

软件升级

投资者关系

清静研究