正文

Kerberos协议漏洞,可导致系统完全被控制

admin
admin V管理员 /0 评论 /7 阅读
1222
此篇文章发布距今已超过1235天,您需要注意文章的内容或图片是否可用!

         近日,安全专家在Windows的Kerberos身份验证系统中发现了一个“极具破坏性”的漏洞。去年就曾曝出该系统中的一个相似漏洞,导致攻击者控制整个网络,包括安装程序和删除数据。
         Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下, Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。

          通过对Kerberos的分析发现以下几点问题:

          基于以上原因,攻击者可借助krbtgt密码绕过身份验证系统,获取管理员访问权限,进而执行一系列管理员操作(如创建用户,下载文件等),还可以根据密码为用户创建响应的密钥。
          据悉,该漏洞不能修复,因为这些都只是Kerberos的工作方式,唯一的解决方法是使用微软的Credential Guard程序阻止证书存储在内存中。为了防止Windows由于Kerberos遭到攻击,用户需要随时关注并保护特权帐户,因为其中很可能存在攻击者创建的账户。