Agieren zulässig
Beschreibung
Der Sicherheitsprinzipal der Quelle darf die ressourcenbasierte eingeschränkte Delegierung in Kerberos (Kerberos Resource-Based Constrained Delegation, KRBCD) auf dem Zielcomputer durchführen. Das bedeutet, dass er sich bei der Kerberos-Authentifizierung gegenüber jedem auf dem Zielcomputer laufenden Dienst als ein beliebiger Benutzer ausgeben kann.
Daher führt er oft zu einer vollständigen Kompromittierung des Zielcomputers.
Dieser Angriff ist auch bekannt als ressourcenbasierte eingeschränkte Delegierung (Resource-Based Constrained Delegation, RBCD), ressourcenbasierte eingeschränkte Delegierung in Kerberos (Kerberos Resource-Based Constrained Delegation, KRBCD), ressourcenbasierte von Kerberos eingeschränkte Delegierung (Resource-Based Kerberos Constrained Delegation, RBKCD) und „Handlung im Namen einer anderen Identität zugelassen”.
Ausnutzung
Angreifer, die den Sicherheitsprinzipal der Quelle kompromittieren, können spezielle Hacker-Tools wie Rubeus verwenden, um legitime Kerberos-Protokollerweiterungen (S4U2self und S4U2proxy) auszunutzen, um Kerberos-Service-Tickets zu fälschen und sich als der gewünschte Benutzer auszugeben. Angreifer werden sich wahrscheinlich als privilegierte Benutzer ausgeben, um privilegierten Zugriff zu erhalten.
Sobald Angreifer das Service-Ticket gefälscht haben, können sie ein beliebiges natives Verwaltungstool oder ein spezialisiertes Hacker-Tool verwenden, das mit Kerberos kompatibel ist, um remote beliebige Befehle auszuführen.
Ein erfolgreicher Ausnutzungsversuch muss die folgenden Bedingungen erfüllen:
-
Die Sicherheitsprinzipale von Quelle und Ziel müssen einen ServicePrincipalName haben. Tenable Identity Exposure erstellt diese Angriffsbeziehung nicht ohne diese Bedingung.
-
Das für das Spoofing anvisierte Konto darf weder als „sensibel und nicht delegierbar” (ADS_UF_NOT_DELEGATED in UserAccountControl) markiert sein noch zur Gruppe „Geschützte Benutzer” gehören, da Active Directory solche Konten vor Delegierungsangriffen schützt.
Behebung
Wenn der Sicherheitsprinzipal der Quelle keine Berechtigung zur Durchführung der ressourcenbasierten eingeschränkten Delegierung durch Kerberos (RBCD) auf dem Zielcomputer benötigt, müssen Sie ihn entfernen. Sie müssen die Änderung auf der Zielseite vornehmen, im Gegensatz zur Angriffsbeziehung der Delegierung „Delegieren zugelassen”.
Sie können RBCD nicht mit vorhandenen grafischen Verwaltungswerkzeugen wie „Active Directory-Benutzer und -Computer” verwalten. Sie müssen stattdessen PowerShell verwenden, um den Inhalt des Attributs msDS-AllowedToActOnBehalfOfOtherIdentity zu ändern.
Listen Sie Sicherheitsprinzipale der Quelle, die in Bezug auf das Ziel handeln dürfen, anhand der folgenden Befehle auf (im Abschnitt „Zugriff:”):
Get-ADComputer target -Properties msDS-AllowedToActOnBehalfOfOtherIdentity | Select-Object -ExpandProperty msDS-AllowedToActOnBehalfOfOtherIdentity | Format-ListWenn Sie keinen der aufgeführten Sicherheitsprinzipale wünschen, können Sie mit diesem Befehl alle löschen:
Set-ADComputer target -Clear "msDS-AllowedToActOnBehalfOfOtherIdentity"Wenn Sie nur einen Sicherheitsprinzipal aus der Liste entfernen müssen, stellt Microsoft leider keinen direkten Befehl zur Verfügung. Sie müssen das Attribut mit der gleichen Liste abzüglich des zu entfernenden Attributs überschreiben. Wenn zum Beispiel „sourceA”, „sourceB” und „sourceC” alle zugelassen waren und Sie nur „sourceB” entfernen wollen, führen Sie folgenden Befehl aus:
Set-ADComputer target -PrincipalsAllowedToDelegateToAccount (Get-ADUser sourceA),(Get-ADUser sourceC)Um die Anfälligkeit sensibler privilegierter Konten für derartige Delegierungsangriffe zu begrenzen, empfiehlt Tenable Identity Exposure, sie als „sensibel und nicht delegierbar” (ADS_UF_NOT_DELEGATED) zu kennzeichnen oder sie nach sorgfältiger Prüfung der damit verbundenen betrieblichen Auswirkungen zur Gruppe „Geschützte Benutzer” hinzuzufügen.
Siehe auch