KrbRelayUp 問題可能還沒好解法
臺資安業者揭露國內AD防護現況,盤點AD攻擊路徑與管理者帳號是當務之急另一AD安全問題,是今年2月揭露的KrbRelayUp漏洞。正如前幾年多人討論Kerberos Relay的漏洞,這次KrbRelayUp以兩個漏洞組合形成新的攻擊,攻擊者可將任意網域帳號在本地電腦提權,目前看來恐怕無解,甚至有研究人員稱其為永遠的零時差漏洞。
https://www.ithome.com.tw/news/151458
常見管理問題
- 管理群組
- 維運 日常帳號分隔
- 設定檢查
- 盤點帳號權限
- 核心資產範圍
管理群組
No admin group
大家都是 domain admins
預設群組用好用滿
(大部分人不用 admin,一個人失守全部淪陷)
建議動作:權限分隔 人員與維運帳號分開
案例 大家都是管理員
管理群組成員關聯強烈
- 群組成員來自不同部門(OU)
知道要管 但力不從心
- 開了群組處理重設密碼 但成員組成不明
- 開了多層管理權限層疊 權限不清
pwd mgmt 看起來是管理密碼群組,但有 general All 權限
維運 日常帳號分隔
管理帳號到處留下蹤跡
管理帳號沒切割 造成 Credential Dumping(超常見)
惡意者 cache Credential
mimikatz
rubeus
mscashrelay auth
krb relay(kerberos relay)
RemotePotato0(NTLM relay)
Lsarelayx(NTLM relay+downgrade)
jumpbox
現象 7天有279帳號 rdp 到同一台電腦,再 RDP 到自己主機
因為設定 Server 電腦讓員工共用主機
惡意者攻擊方式
- Cross-session attack
- Relay Auth 到 ADCS
設定檢查
各種設定錯誤
Default Component
Group Policy 讓不預期人員改 GPO
SPN on Users 被破解密碼的風險
Network Shares 權限開太大Auth related
AD CS權限
"我們的"憑證
錯誤設定憑證範本權限
要賦予所有使用者註冊權限 多給予修改權限
造成使用者可以修改"範本內容" 從而提權到 Domain Admins
- 使用者修改範本
- 使用者把自己套用範本權限
- 憑證上面寫上 我可以代表任何人
- 使用者把自己改成代表 admin
AAD Connect Service Account
盤點帳號權限
對於特定資產該賦予權限沒概念
Exchange AD Privesc
OU權限: 我是你的主人
核心資產範圍
Tier 0:
Tier 1:
Tier 2:
你以為的核心資產
如何解決
scan the privilege
monitoring
professional advise
沒有留言:
張貼留言