【威胁通告】Windows 域内机器本地提权攻击

阅读： 1,371

来自Shenanigans Labs的安全研究员公布了一种利用基于资源的约束委派(Resource-Based Constrained Delegation)进行活动目录攻击的方式，该攻击方式可能对域环境造成严重威胁，攻击者能够令普通的域用户以域管理员身份访问本地计算机的服务，实现本地权限提升，参考相关链接[1]。绿盟科技M01N Red Team对基于该攻击的本地权限提升进行了研究和复现，并在此基础上结合PowerShell Remoting对进一步获得域管理员权限进行了实验，详见链接[2]。

攻击原理

安全研究员Elad Shami在其报告中指出，无论服务账号的UserAccountControl属性是否被设为TrustedToAuthForDelegation，服务自身都可以调用S4U2Self为任意用户请求访问自己的TGS服务票据。但是当没有设置时，通过S4U2Self请求得到的TGS服务票据是不可转发的。

如果通过S4U2Self获得的TGS服务票据被标志为可转发，则该票据可以在接下来的S4U2Proxy中被使用，而不可转发的TGS服务票据是无法通过S4U2Proxy转发到其他服务进行传统的约束委派认证的。

可关键在于，不可转发的TGS服务票据竟然可以用于基于资源的约束委派。S4U2Proxy会接收这张不可转发的TGS服务票据，请求相关服务并最后得到一张可转发的TGS 服务票据。

更多详情参见：

https://blog.nsfocus.net/analysis-attacks-entitlement-resource-constrained-delegation/#i-2

攻击流程

引用报告中原图说明该攻击步骤：

如果能够在B上配置基于资源的约束委派让服务A访问（拥有修改服务B的msDS-AllowedToActOnBehalfOfOtherIdentity属性权限），并通过服务A使用S4U2Self向域控制器请求任意用户访问自身的TGS 服务票据，最后再使用S4U2Proxy转发此票据去请求访问服务B的TGS服务票据，那么就将能模拟任意用户访问B的服务！

更多详情参见：

https://blog.nsfocus.net/analysis-attacks-entitlement-resource-constrained-delegation/#i-4

缓解措施

在高权限账户属性设置中，将其设置为“敏感账户，不能被委派”。
将高权限账户加入被保护组。
启用LDAP签名和 channel binding能修复通过NTLM中继的本地提权。

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司（简称绿盟科技）成立于2000年4月，总部位于北京。在国内外设有30多个分支机构，为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供具有核心竞争力的安全产品及解决方案，帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究，绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域，为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易，股票简称：绿盟科技，股票代码：300369。

【威胁通告】Windows 域内机器本地提权攻击