安全研究人员发现Windows的Kerberos认证系统存在一个可称之为“毁灭级”的漏洞。该漏洞无法修复,唯一的解决方案就是使用微软的 Credential Guard 应用程序来防止口令存储在内存。
漏洞是由于第三方认证系统建立密钥而引起的,它使用了一个与口令相关的无效用户名(krbtgt)。这个口令很少改变,于是允许攻击者给自己赋予admin权限从而完全绕过系统的认证,同时可以给现有用户和新用户建立秘密口令。
尽管一些入口有着时间限制(系统会在20分钟后寻找并确认账户的有效性),但由于可以无限制的建立虚假用户,因此也就意味着可以持续访问系统。
Kerberos是Windows网络、认证客户端和服务器端中的认证协议。去年就曾发现过一个漏洞,可以被攻击者利用危害整个网络,包括安装程序和删除数据。
Kerberos或称Cerberus,是希腊神话中的地狱之门守护者,一条有着三个头的巨狗,凶猛无比,但可以用七弦琴的声音让其睡觉。
研究人员表示,系统建立密钥是为了避免通过网络认证用户时发送口令。但密钥并没有经过“撒盐”处理并且使用了NTLM哈希,因此相对容易破解。krbtgt这个用户是在系统首次安装时建立的,而且并没有激活,因此可以呆在系统中数年之久而不被触及,但却为黑客留下了一个潜在的入口。研究人员在博客中描述了攻击的一些细节,包括添加新用户、为已有用户增加第二个秘密口令,下载文件等。
微软目前尚未对此漏洞发表回应。
漏洞详细描述地址:
http://dfir-blog.com/2015/12/13/protecting-windows-networks-kerberos-attacks/