首页 > 安全钻研 > 安全传递 > 安全公告

Windows域内机械本地攻击安全公告

颁布功夫 2019-03-06

缝隙编号和级别

CVE编号：暂无，危险级别：高危， CVSS分值：官方未评定

影响领域

受影响软件以及版本：

Windows域环境

缝隙概述

来自Shenanigans Labs的安全钻研员颁布了一种利用基于资源的约束委派(Resource-Based Constrained Delegation)进行活动目录攻击的方式，该攻击方式可能对域环境造成严沉威胁，攻击者可能令通常的域用户以域治理员身份接见本地推算机的服务，实现本地权限提升。

缝隙细节

有关布景

委派(Delegation)是一种让用户能够委托服务器代表自己与其他服务进行验证的职能，重要用于当服务必要以某个用户的身份来要求接见其他服务资源的场景。

对于分歧委派的工作模式，如果A为IIS Web Server，B为SQL Server，A必要使用数据库B以支持用户接见。

GA黄金甲·(中国区)官方网站

传统的约束委派是“正向的”，通过批改服务A属性”msDS-AllowedToDelegateTo”，增长服务B的SPN（Service Principle Name），设置约束委派对象（服务B），服务A便能够仿照用户向域节造器要求接见服务B以获得TGS服务单据来使用服务B的资源。

而基于资源的约束委派则是相反的，通过批改服务B属性”msDS-AllowedToActOnBehalfOfOtherIdentity”，增长服务A的SPN，达到让服务A仿照用户接见B资源的主张。

攻击道理

安全钻研员Elad Shami在其汇报中指出，无论服务账号的UserAccountControl属性是否被设TrustedToAuthForDelegation，服务自身都能够挪用S4U2Self为肆意用户要求接见自己的TGS服务单据。但是当没有设置时，通过S4U2Self要求得到的TGS服务单据是不成转发的。

若是通过S4U2Self获得的TGS服务单据被标志为可转发，则该单据能够在接下来的S4U2Proxy中被使用，而不成转发的TGS服务单据是无法通过S4U2Proxy转发到其他服务进行传统的约束委派认证的。

可关键在于，不成转发的TGS服务单据竟然能够用于基于资源的约束委派。S4U2Proxy会接管这张不成转发的TGS服务单据，要求有关服务并最后得到一张可转发的TGS 服务单据。

攻击流程

引用汇报中原图注明该攻击步骤：

GA黄金甲·(中国区)官方网站

若是可能在B上配置基于资源的约束委派让服务A接见（占有批改服务B的msDS-AllowedToActOnBehalfOfOtherIdentity属性权限），并通过服务A使用S4U2Self向域节造器要求肆意用户接见自身的TGS 服务单据，最后再使用S4U2Proxy转发此单据去要求接见服务B的TGS服务单据，那么就将能仿照肆意用户接见B的服务！

建复建议

缓解措施：

1. 在高权限账户属性设置中，将其设置为“敏感账户，不能被委派”。

2. 将高权限账户参与被�；ぷ�。

3. 启用LDAP署名和channel binding能建复通过NTLM中继的本地提权。

参考链接

https://shenaniganslabs.io/2019/01/28/Wagging-the-Dog.html

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

软件升级

投资者关系

安全钻研