Schlüssel-Anmeldeinformation hinzufügen
Beschreibung
Der Sicherheitsprinzipal der Quelle kann sich als das Ziel ausgeben, indem er Zuordnungen von Vertrauensstellungen ausnutzt, die auch als Schlüssel-Anmeldeinformationen oder „Schatten-Anmeldeinformationen” bezeichnet werden.
Dies ist möglich, weil die Quelle die Berechtigung hat, das Attribut msDS-KeyCredentialLink des Ziels zu bearbeiten.
Windows Hello for Business (WHfB) verwendet diese Funktion normalerweise, aber Angreifer können sie auch dann ausnutzen, wenn sie nicht in Gebrauch ist.
Ausnutzung
Angreifer, die den Sicherheitsprinzipal der Quelle kompromittieren, müssen das Attribut msDS-KeyCredentialLink des Zielcomputers mithilfe spezieller Hacker-Tools wie Whisker oder DSInternals bearbeiten.
Das Ziel der Angreifer ist es, dem Attribut dieses Ziels ein neues Zertifikat hinzuzufügen, für das sie den privaten Schlüssel besitzen. Sie können sich dann mit dem bekannten privaten Schlüssel über das Kerberos PKINIT-Protokoll als Ziel authentifizieren, um ein TGT zu erhalten. Dieses Protokoll ermöglicht es Angreifern auch, den NTLM-Hash des Ziels abzurufen.
Behebung
Mehrere Sicherheitsprinzipale mit nativen Rechten verfügen standardmäßig über diese Berechtigung, nämlich Kontooperatoren, Administratoren, Domänenadministratoren, Unternehmensadministratoren, Unternehmensschlüssel-Administratoren und SYSTEM. Für diese legitimen Sicherheitsprinzipale sind keine Behebungsmaßnahmen erforderlich.
Für Sicherheitsprinzipale der Quelle, die dieses Attribut nicht ändern müssen, müssen Sie diese Berechtigung entfernen. Suchen Sie nach Berechtigungen wie „Alle Eigenschaften schreiben”, „msDS-AllowedToActOnBehalfOfOtherIdentity schreiben”, „Vollständige Kontrolle” usw.
Siehe auch