根據(jù)一篇博客爆料，在Kerberos部署中存在大量身份驗(yàn)證漏洞，特別是針對(duì)微軟的，這激起了人們對(duì)舊的但危險(xiǎn)的漏洞進(jìn)行新的認(rèn)知。

安全研究員詳解了各種通過(guò)使用pass-the-ticket、pass-the-hash或偽造特權(quán)屬性證書(shū)繞過(guò)身份驗(yàn)證系統(tǒng)來(lái)攻擊Kerberos的方法。在最為嚴(yán)重的漏洞中，攻擊者能夠在微軟Kerberos環(huán)境中創(chuàng)建一個(gè)黃金通行證(golden ticket)，使其具備管理員權(quán)限，為現(xiàn)有用戶(hù)或并不存在的新用戶(hù)創(chuàng)建秘密密碼。

這是因?yàn)樵谖④汯erberos中密鑰分發(fā)中心(KDC)會(huì)對(duì)使用krbtgt用戶(hù)密鑰的通行授予(TGT)和PAC數(shù)據(jù)進(jìn)行加密和標(biāo)記，這都是默認(rèn)情況下創(chuàng)建的。該漏洞更具有危險(xiǎn)性，因?yàn)閗rbtgt賬戶(hù)被禁用且不使用，所以密碼很少更改，微軟Kerberos將與用戶(hù)名有關(guān)的兩個(gè)曾用明碼存在內(nèi)存中。

在博客中，博主指出可以獲取密鑰的多種方法，且一旦拿到了密鑰，攻擊者在用戶(hù)驗(yàn)證前有20分鐘的自由時(shí)間，在此期間，黃金通行證可以創(chuàng)建無(wú)限的訪(fǎng)問(wèn)。

該漏洞使用偽造的PAC或生成對(duì)只對(duì)軟Kerberos(而不對(duì)MIT Kerberos)造成影響的金/銀通行證，因?yàn)槲④浭褂脤?zhuān)有PAC授權(quán)擴(kuò)展。

麻省理工學(xué)院企業(yè)架構(gòu)師Jeff Schiller和Kerberos認(rèn)證系統(tǒng)的創(chuàng)始人一員證實(shí)了這種身份驗(yàn)證漏洞是針對(duì)微軟的Kerberos的。

“ktbtgt用戶(hù)賬戶(hù)應(yīng)該具備一個(gè)不是密碼的密鑰。在MIT部署中，它是隨機(jī)選擇的。”Schiller說(shuō)道，“Kerberos的要求之一是KDC必須是安全的。它包含著所有的用戶(hù)隱私。如果KDC被攻陷，那么一切都玩完。將KDC置于帶有很多其他服務(wù)的域控制器中增加了攻擊風(fēng)險(xiǎn)，使得攻擊者更有攻擊的機(jī)會(huì)。”

根據(jù)該博客，為ktbtgt賬戶(hù)連續(xù)更改兩次密碼可阻止新的通行生成，依次定期修改密碼可降低曝光的風(fēng)險(xiǎn)，因?yàn)樵诰徑夤舴矫鏇](méi)有什么特別奏效的方式。

“緩解大部分這些攻擊不太可能，因?yàn)檫@還只是Kerberos在Windows環(huán)境中的工作。大多數(shù)情況下，你要不惜代價(jià)關(guān)注于保護(hù)特權(quán)賬戶(hù)，因?yàn)楸Ｗo(hù)所有賬戶(hù)是不太可能的，況且這是攻擊者所好。否則你將失去更多。目前最有效的緩解措施當(dāng)屬保護(hù)用戶(hù)組(Protected Users group)和認(rèn)證衛(wèi)士(Credential Guard)。”