#威胁通报
17 个内容
#漏洞预警
13 个内容
01 漏洞概况
02 漏洞原理分析验证
当前关于该漏洞细节相关的分析推测主要为参考链接[1][2],从参考链接中我们可以初步猜测:该漏洞主要是在 s4u2self 的过程中,当dc查询service 账户 bob 信息时,如果该账户不存在,会默认在账户后添加一个$字符继续查找即bob$,如果 bob$ 被找到,那么会以bob$的hash生成一个 tgsticket,如果 bob 为 dc 账户呢?那攻击者便有能力通过 s4u2self 获得一张 dc 的任意用户访问票据。
如上所示,两个函数引用了该函数,这也很好理解,TGT 和 TGS ticket 都需要调用该函数进行加密,在该漏洞中我们需要关注的是 KerbpackticketEx 函数的第二个参数,即用于加密ticket的key,我们需要知道 HandleTGSRequest 中加密 tgs ticket 的 key 是哪里来的,是取的那个用户名的 hash 为 key?
当用户名查询不存在时,会在用户名后拼接一个$字符再继续查找,找到对应账户后将相关信息用于加密ticket,同时也会更新pac信息。
那么至此我们也就明白了整个漏洞的数据流了:
(1) 攻击者将受控机器的机器名改为和dc一致(去掉$)
(2) 为受控机器申请一张TGT
(3) 将受控机器重命名
(4) 利用2中获取的 TGT,通过 s4u2self 申请一张任意用户访问 dc 的 tgs,dc 会首先以 servername 作为 username 去查找该用户是否存在,如果不存在则拼接上$字符继续查找,这时发现存在,即 dc 的机器账户,接着便用 dc 的 hash 加密 tgs ticket 并且更新pac。
参考链接:
(1)https://www.thehacker.recipes/ad/movement/kerberos/samaccountname-spoofing
(2)https://exploit.ph/cve-2021-42287-cve-2021-42278-weaponisation.html
03 检测及修复方案
(1)https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42287
(2)https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42278
第一时间为您推送最新威胁情报
阅读原文,可加入粉丝交流~
本文由 华域联盟 原创撰写:华域联盟 » 漏洞预警|Windows域服务权限提升漏洞最新分析
转载请保留出处和原文链接:https://www.cnhackhy.com/155715.htm
