เด้งตั๋วและโจมตีซิลเวอร์ไอโอไดด์บน Azure AD Kerberos
มกราคม 25th, 2023 ดอร์ ซีกัล
Silverfort การวิจัยพบว่าผู้คุกคามสามารถโจมตีโปรโตคอลการตรวจสอบสิทธิ์บนคลาวด์ใหม่ของ Microsoft เพื่อขโมยหรือปลอมตั๋วบนคลาวด์และดำเนินการเคลื่อนไหวด้านข้าง
สรุป
Silver Ticket and Pass the Ticket (PTT) เป็นมรดกที่น่าอับอายในองค์กร Kerberos การโจมตีที่ใช้ทำการเคลื่อนไหวด้านข้างใน Active Directory. เมื่อเร็ว ๆ นี้ Microsoft ได้สร้างอีกก้าวหนึ่งสู่ระบบคลาวด์ Azure AD Kerberos ซึ่งเป็นการนำโปรโตคอล Kerberos ไปใช้บนคลาวด์นั้นมีให้บริการโดยทั่วไป Azure AD Kerberos เปิดใช้งานการตรวจสอบสิทธิ์ทรัพยากรระบบคลาวด์โดยไม่ต้องใช้ภายในองค์กร Active Directory. Microsoft ได้ปรับปรุงความปลอดภัยให้กับ Kerberos เวอร์ชันคลาวด์นี้ อย่างไรก็ตาม การโจมตีนั้นอยู่ในตรรกะพื้นฐานของวิธีการทำงานของโปรโตคอล ดังนั้นการแก้ไขสิ่งเหล่านี้จึงจำเป็นต้องให้ Kerberos ได้รับการออกแบบใหม่อย่างมาก ไม่ใช่แค่กรณีของการแก้ไขรหัสที่มีข้อบกพร่อง
เราได้พัฒนา Pass the Ticket และ Silver Ticket สองรูปแบบซึ่งใช้ได้กับ Azure AD Kerberos เราตั้งชื่อมันว่า Bounce the Ticket และ Silver Iodide การโจมตีเหล่านี้ทำให้โครงสร้างพื้นฐานที่โฮสต์โดย Azure เช่น เซิร์ฟเวอร์และที่เก็บข้อมูล เข้าถึงที่เป็นอันตรายได้
คุณสามารถอ่านการวิเคราะห์ทางเทคนิคฉบับเต็มได้ในนี้ กระดาษสีขาว.
ตามการเปิดเผยอย่างมีความรับผิดชอบ เทคนิคทั้งสองได้ถูกแชร์กับทีม MSRC ของ Microsoft ก่อนเผยแพร่ เราต้องการแสดงความขอบคุณสำหรับเวลาและความพยายามของบริษัทในการประเมินงานวิจัยของเรา
เนื่องจากไม่มีการแก้ไขเฉพาะ Silverfort เรียกร้องให้องค์กรดำเนินการลดผลกระทบต่อไปนี้:
- ตรวจสอบและติดตามการเปลี่ยนแปลงใดๆ ใน Azure Access Control (AMI) และสิทธิ์การควบคุมการเข้าถึงของแชร์เพื่อตรวจสอบว่าเฉพาะผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่มีสิทธิ์สำหรับ Microsoft.ClassicStorage/storageAccounts/listKeys/action – การดำเนินการแยกคีย์ Kerberos
- เพื่อหลีกเลี่ยงการโจมตี Bounce the Ticket ให้ลดจำนวนคอมพิวเตอร์ที่อนุญาตให้เก็บ Cloud TGT ให้เหลือน้อยที่สุด คุณสามารถทำได้โดยจำกัดนโยบายกลุ่ม “อนุญาตการดึงตั๋ว Azure AD Kerberos ในระหว่างการเข้าสู่ระบบ” เฉพาะกลุ่มความปลอดภัยที่ใช้ Azure AD Kerberos
