“极具破坏性”的Kerberos协议漏洞,可导致系统完全被控制

2015-12-17 243206人围观 ,发现 3 个不明物体 系统安全

近日,安全专家在Windows的Kerberos身份验证系统中发现了一个“极具破坏性”的漏洞。去年就曾曝出该系统中的一个相似漏洞,导致攻击者控制整个网络,包括安装程序和删除数据。

Kerberos协议

Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下, Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。

漏洞原理

图一 典型的身份验证过程

通过对Kerberos的分析发现以下几点问题:

1、密钥来源于用户密码;
2、密钥存储在内存中;
3、使用RC4加密算法的密钥没有进行加盐处理,NTLM哈希值即为RC4密钥;
4、KDC(密钥分配中心)使用的密钥来源于krbtgt用户密码,尽管该账户已被禁用,并且从未被使用;
5、krbtgt用户密码很少更改(只有当域功能级别改变时才有可能会更改),且更改后的旧密码仍然可用;
6、TGT票据使用krbtgt密钥进行加密,PAC数据使用krbtgt密钥进行进行签名,并且系统很少会验证PAC数据;
7、Kerberos在用户登录20分钟后才会验证用户账户。

基于以上原因,攻击者可借助krbtgt密码绕过身份验证系统,获取管理员访问权限,进而执行一系列管理员操作(如创建用户,下载文件等),还可以根据密码为用户创建响应的密钥。

缓解

据悉,该漏洞不能修复,因为这些都只是Kerberos的工作方式,唯一的解决方法是使用微软的Credential Guard程序阻止证书存储在内存中。为了防止Windows由于Kerberos遭到攻击,用户需要随时关注并保护特权帐户,因为其中很可能存在攻击者创建的账户。

*参考来源:theregister,vul_wish编译,转自须注明来自FreeBuf黑客与极客(FreeBuf.COM)

发表评论

已有 3 条评论

取消
Loading...

特别推荐

推荐关注

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php