本文详细分析了Windows系统的Zerologon高危漏洞,探讨了一种无需重置计算机帐户就能利用该漏洞的新方法。通过结合NTLM中继和Zerologon,攻击者可以安全地利用此漏洞,尤其是对于安全专业人员进行网络安全评估。文章介绍了利用过程,包括零登录概念、NTLM和Kerberos的身份验证协议,以及中继到DRSUAPI以即时同步Active Directory数据。此外,还讨论了防御者应采取的注意事项。
2020年8月,Microsoft修补了CVE-2020-1472又名Zerologon。我认为,这是过去几年中最关键的Active Directory漏洞之一,因为它允许在没有凭据的情况下立即升级到Domain Admin。利用此漏洞的最直接方法是更改域控制器计算机帐户的密码。这是一个冒险的举动,并有可能破坏环境中的事物。在此博客中,我们探索了一种利用此漏洞的新方法,尽管它具有一些先决条件,但对于评估网络安全性的安全专业人员而言,它更安全。我们还将进一步研究Active Directory中的身份验证协议,以及如何将它们与Zerologon漏洞联系在一起。尽管这是利用漏洞的另一种方法,
零登录
让我们从漏洞开始。如果您尚未阅读详细信息,可以在Secura博客上阅读有关详细信息发现漏洞的研究人员Tom Tervoort在其中描述了技术细节。该漏洞存在一个加密漏洞,其中对于每256个随机生成的密钥中的1个,对由所有空字节组成的纯文本进行加密将导致所有空字节的密文。这种易受攻击的加密协议实现用作Netlogon协议中的身份验证机制。netlogon协议在Active Directory中通常由工作站和服务器使用,以通过安全通道与域控制器进行通信。之所以可行,是因为加入Active Directory的每个工作站或服务器都有一个知道密码的计算机帐户。Active Directory拥有从此相同密码派生的几个密钥,
最初的Zerologon攻击通过将域中域控制器的Active Directory帐户的密码重置为空字符串而起作用。这使攻击者可以将该域控制器认证为另一个域控制器,甚至是同一域控制器。能够作为域控制器进行身份验证具有很高的特权,因为域控制器可以使用DRSUAPI协议来同步Active Directory数据,包括NT哈希和Kerberos密钥。这些密钥又可用于模拟域中的任何用户,或创建伪造的Kerberos票证。利用这一点并非没有风险。在Active Directory中重置域控制器计算机帐户密码后,DC处于不一致状态。加密的计算机帐户密码,该密码存储在注册表和以下文件的内存中
lsass.exe
,不变。现在,已更改Active Directory中同一帐户的密码,这将影响从该域控制器进行的身份验证以及从该域控制器进行的身份验证。如果重新启动域控制器,则各种服务将不再启动,因为它们希望从Active Directory中读取信息。上周,我写了一个主题,内容涉及重置此计算机帐户后一切为何中断,您可以在此处阅读。如果执行漏洞利用的速度足够快,则可以从注册表中恢复原始密码,并使用我添加到包含示例漏洞利用的GitHub存储库中的还原脚本来还原该密码。同时,这仍然存在发生故障的风险,这就是为什么我不建议在生产环境中真正使用它的原因。
寻找替代方法来利用Zerologon
由于原始攻击有相当大的风险,因此我想找出一种无需重置计算机帐户即可利用Zerologon的方法。为此,我们必须同时考虑身份验证协议和Netlogon中的一些先前的缺陷。在Active Directory中,有两种主要的身份验证协议:NTLM和Kerberos。Kerberos是部分分散的,并且基于加密和共享机密工作。但是,NTLM是完全集中的,如果使用域帐户,则需要与域控制器进行通信才能正常工作。这是因为NTLM使用质询-响应认证机制,其中对服务器发送的质询执行加密操作,以证明用户拥有其密码(或确切地说是其密码的哈希版本)。对于Active Directory帐户,服务器实际上并不知道尝试进行身份验证的用户的密码,因此它将密码转发给域控制器,该域控制器告诉服务器响应对于给定的挑战是否正确。这种转发实际上是通过Netlogon协议完成的,该协议中存在Zerologon漏洞。
NTLM协议的弱点之一是,如果攻击者可以说服用户使用NTLM对他们进行身份验证,则他们可以将身份验证消息转发到其他服务器,并在该服务器上模拟用户。这被称为NTLM中继,已经存在了很长时间。几个
最低0.47元/天 解锁文章
842
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
