Новая техника атак с использованием уязвимости Kerberos Delegation в сетях Active Directory

В сетях Active Directory (AD) обнаружен новый метод атак, использующий уязвимости в механизме Kerberos Delegation. Этот метод представляет серьезную угрозу для корпоративной безопасности. Злоумышленники могут использовать данную уязвимость для захвата учетных записей пользователей и компрометации целых доменов.

Kerberos Delegation — это механизм в системе Active Directory, который позволяет приложениям получать доступ к ресурсам от имени пользователей. Существует три типа делегирования:

1. Неограниченное делегирование (Unconstrained Delegation): Введено в Windows Server 2000. Этот тип позволяет службам полностью захватывать учетные данные пользователей, что делает его удобной мишенью для злоумышленников.
2. Ограниченное делегирование (Constrained Delegation): Предоставляет службам доступ только к определенным ресурсам.
3. Ресурсное ограниченное делегирование (Resource-Based Constrained Delegation): Ресурсы сами управляют правами доступа к себе.

Новый метод атак использует уязвимость именно Неограниченного делегирования. Эта функция до сих пор используется в старых системах, что делает их легкой мишенью для злоумышленников.

Метод, обнаруженный аналитическим центром Thinkst, предполагает создание в системе Active Directory объекта под названием «Ghost Server» (Сервер-призрак). Этот объект выглядит как реальный сервер, но на самом деле не имеет физической основы. Основные этапы атаки следующие:

1. Создание Ghost Server: Злоумышленник создает объект в системе AD с включенным Неограниченным делегированием и настраивает его DNS-записи для перенаправления на другую машину (например, honeypot или скомпрометированную систему).
2. Манипуляция SPN: Злоумышленник использует такие инструменты, как setSPN.exe, чтобы связать доменное имя Ghost Server с контролируемой им машиной.
3. Выполнение атаки: Когда реальные пользователи или системы взаимодействуют с Ghost Server, их учетные данные перенаправляются на машину, контролируемую злоумышленником. Это позволяет атакующим захватывать учетные записи с высокими привилегиями (например, Domain Admin).

Этот метод дает злоумышленникам возможность повышения привилегий и перемещения по сети (латеральное перемещение). Такие инструменты, как BloodHound и Impacket, упрощают для атакующих обнаружение и использование подобных уязвимостей.

Для снижения этого риска организации могут предпринять следующие меры:

1. Обновление старых систем: Использование Ограниченного или Ресурсного ограниченного делегирования вместо Неограниченного.
2. Защита учетных записей с высокими привилегиями: Добавление таких учетных записей в группу «Protected Users» и включение настройки «Account is sensitive and cannot be delegated».
3. Проверка конфигурации SPN: Регулярная проверка настроек SPN с помощью инструментов, таких как setSPN.exe, или сторонних решений.
4. Использование техник обмана: Если используются скрытые объекты, такие как Ghost Server, необходимо применять строгий контроль доступа (ACL) и тщательный мониторинг.

Такие удобства, как Kerberos Delegation в системах Active Directory, могут одновременно создавать уязвимости в безопасности. Новый метод атак показывает, что старые конфигурации по-прежнему представляют серьезную угрозу для кибербезопасности. Организации должны начать переход на современные решения и внедрять строгий мониторинг для устранения этих рисков.

Мир кибербезопасности постоянно развивается, поэтому организациям необходимо изучать новые методы атак и принимать меры против них. Только проактивный подход и использование современных технологий могут предотвратить кибератаки.