Независимый исследователь, скрывающийся под псевдонимом dfirblog, привлек внимание общественности к серьезной проблеме в протоколе аутентификации Kerberos. Хотя некоторые СМИ ошибочно сообщили, что dfirblog обнаружил новую брешь, на самом деле, проблема не нова, хотя её существование игнорировалось почти всеми на протяжении 18 месяцев.
Протокол аутентификации Kerberos широко используется операционными системами Windows. «Цербер» является протоколом по умолчанию для аутентификации клиентов и серверов в сетях Windows.
Проблема, о которой так удачно напомнил всем dfirblog, связана с тем, как сторонние системы аутентификации создают секретные ключи. Дело в том, что они используют пароль, ассоциируемый с отключенным логином (krbtgt). Так как данный пароль меняется крайне редко, возникает возможность обойти систему аутентификации. Это позволит злоумышленнику повысить свои привилегии до привилегий администратора и создать секретные пароли для уже существующих пользователей, а также наплодить новых.
Атака имеет ограниченные временные рамки: система запросит валидацию аккаунта через 20 минут. Однако создавать поддельных пользователей можно без ограничений, так что атакующий может просто генерировать новых пользователей и оставаться в системе.
dfirblog отмечает, что самое неприятное в данной ситуации, тот факт, что уязвимость невозможно исправить. Единственный выход —использовать Microsoft Credential Guard, что поможет не допустить, чтобы пароли хранились в памяти.
В отличие о СМИ, компания Microsoft отреагировала на публикацию dfirblog спокойно, не постеснявшись ее прокомментировать:
«Мы хорошо осведомлены о техниках атак Golden Ticket и Pass-the-Hash и рекомендуем пользователям следовать нашим инструкциям, размещенным по адресу www.microsoft.com/pth, чтобы защитить себя. Важно помнить, что для данной техники уязвимы только организации, чей контроллер домена уже был полностью скомпрометирован».
Данная уязвимость – не единственная проблема протокола Kerberos. Так в ноябре 2014 года был обнаружен похожий баг, который тоже позволял атакующему скомпрометировать всю сеть, получив полный доступ даже к установке и удалению программ. Эту брешь Microsoft оперативно устранила.
Фото: Denoir