Microsoft merinci bagaimana pelanggan Windows dapat melindungi diri mereka sendiri dari serangan “Kerberos relay” otomatis, yang dapat memberikan hak istimewa sistem penyerang pada mesin Windows.
Microsoft menanggapi rilis KrbRelayUp April, yang menyederhanakan beberapa alat publik sebelumnya untuk meningkatkan hak istimewa dari pengguna domain Windows dengan hak istimewa rendah ke Active Directory (AD) dengan menggabungkan perangkat yang tidak sah ke Active Directory (AD). otentikasi premis dan layanan identitas.
Menurut Microsoft, alat tersebut bergantung pada Resource-Based Constrained Delegation (RBCD), metode sah di Windows yang memungkinkan penyerang untuk “meniru sebagai administrator dan akhirnya menjalankan kode sebagai akun SISTEM dari perangkat yang terinfeksi.”
Lihat: Microsoft memperingatkan: Botnet ini memiliki trik baru untuk Linux dan Windows
Sistem adalah tingkat hak istimewa tertinggi di lingkungan Windows. Protokol otentikasi Kerberos adalah kerangka kerja utama untuk Layanan Identitas di tempat Microsoft Active Directory (AD).
Kerberos adalah penerus Microsoft Manajer LAN NT (NTLM) protokol dan diimplementasikan pada Windows 2000 dan yang lebih baru. Kerberos memungkinkan administrator untuk menerapkan sistem masuk tunggal (SSO) sehingga pengguna tidak perlu memasukkan sandi berulang kali. Kerberos menggunakan layanan pemberian tiket atau pusat distribusi kunci untuk mengelola otentikasi.
Mor Davidovich, penguji yang merilis KrbRelayUp, mengatakan alatnya memanfaatkan “eskalasi hak istimewa lokal tanpa perbaikan umum di lingkungan domain Windows di mana penandatanganan LDAP tidak diberlakukan”.
AD menggunakan protokol LDAP untuk menanyakan dan mengakses informasi direktori. Masalah dengan LDAP adalah tidak menggunakan tanda tangan secara default untuk komunikasi yang aman antara klien LDAP dan pengontrol domain, yang membuatnya rentan terhadap serangan relai kredensial NTLM dan Kerberos.Oleh karena itu, pada tahun 2019, Microsoft Memublikasikan panduan untuk mengaktifkan penandatanganan LDAPtetapi administrator tidak dapat menambal masalah ini, hanya mengonfigurasi LDAP untuk menguranginya.
Microsoft mengklarifikasi bahwa KrbRelayUp tidak dapat digunakan untuk serangan di organisasi yang murni menggunakan Azure Active Directory (AD), versi cloud dari layanan identitasnya. Tetapi pelanggan yang menggunakan lingkungan identitas hibrid (pengontrol domain AD lokal yang disinkronkan dengan Azure AD) rentan.
“Jika penyerang mengkompromikan mesin virtual Azure menggunakan akun sinkronisasi, mereka akan mendapatkan hak istimewa SISTEM pada mesin virtual,” kata Microsoft.
Pendekatan RBCD memanfaatkan beberapa kemampuan otentikasi yang sah yang telah berkembang dengan kebutuhan AD untuk mendukung pengguna dengan banyak perangkat dan akun dengan akses yang didelegasikan.
Lihat: Apakah tepat waktu?Atasan akhirnya sadar akan ancaman keamanan siber
Misalnya, supervisor dapat mengizinkan bawahan untuk mengirim dan menerima email atas nama mereka tanpa membagikan kata sandi supervisor. Awalnya, hanya administrator domain yang dapat menggunakan msDS-AllowedToDelegateTo untuk melakukan ini, tetapi seiring dengan berkembangnya organisasi dan kebutuhan akan delegasi yang meningkat, Microsoft memperkenalkan delegasi “berbasis sumber daya”.
“Dalam organisasi dengan beberapa server file yang semuanya mempercayai server web untuk pendelegasian, administrator harus mengubah prioritas msDS-AllowedToDelegateTo di semua server file yang berbeda untuk membawa server web kedua. Dengan delegasi berbasis sumber daya, daftar dipercaya Komputer tetap berada di pihak penerima. Jadi, dalam contoh kita, hanya server yang baru dibuat yang perlu mengubah pengaturannya, ”jelas Microsoft.
KrbRelayUp juga tergantung pada ms-DS-MachineAccountQuota Atribut, ada di semua objek AD pengguna. Pengaturan default 10 memungkinkan setiap pengguna di AD untuk membuat hingga 10 akun komputer yang terkait dengannya, sehingga pengguna dapat menggunakan beberapa perangkat di jaringan.
“Namun, jika pengguna yang terinfeksi tidak memiliki 10 perangkat aktual yang terkait dengan akun mereka, penyerang dapat membuat akun untuk perangkat yang tidak ada, yang menjadi objek di Active Directory. Akun komputer palsu ini dikaitkan dengan perangkat asli, tetapi Dapat dilakukan seperti permintaan autentikasi Active Directory.”
Microsoft memberikan langkah-langkah mitigasi terperinci dalam posting blognya.