Azure AD Kerberos'ta Bileti ve Gümüş İyodür Saldırılarını Sıçratın
Ocak 25th, 2023 Dor Segal
Silverfort Araştırma, tehdit aktörlerinin bulut biletlerini çalmak veya taklit etmek ve yanal hareket gerçekleştirmek için yeni Microsoft bulut kimlik doğrulama protokolüne saldırabileceğini ortaya koyuyor
Özet
Silver Ticket ve Pass the Ticket (PTT), şirket içi kötü şöhretli bir mirastır Kerberos Yanal Hareket gerçekleştirmek için kullanılan saldırılar Active Directory. Buluta doğru bir adım daha atan Microsoft, yakın zamanda Azure AD Kerberos, Kerberos protokolünün bulut tabanlı uygulaması genel olarak mevcuttur. Azure AD Kerberos, şirket içi bir ağ kullanmak zorunda kalmadan bulut kaynaklarında kimlik doğrulamaya olanak tanır Active Directory. Microsoft, Kerberos'un bu bulut varyantında güvenlik geliştirmeleri yaptı; ancak saldırılar, protokolün nasıl çalıştığının altında yatan mantıkta yatmaktadır, bu nedenle bunları düzeltmek, Kerberos'un önemli ölçüde yeniden tasarlanmasını gerektirecektir. Bu sadece kusurlu koda yama yapma durumu değildir.
Azure AD Kerberos için çalışan Pass the Ticket ve Silver Ticket'ın iki çeşidini geliştirdik. Onlara Bounce the Ticket ve Silver Iodide adını verdik. Bu saldırılar, sunucular ve depolama gibi Azure tarafından barındırılan altyapıyı kötü niyetli erişime maruz bırakır.
Teknik analizin tamamını buradan okuyabilirsiniz. Beyaz kağıt.
Sorumlu açıklamaya uygun olarak, her iki teknik de yayınlanmadan önce Microsoft'un MSRC ekibiyle paylaşıldı. Şirketin araştırmamızı değerlendirmek için harcadığı zaman ve çaba için minnettarlığımızı paylaşmak istiyoruz.
Belirli bir düzeltme olmadığından, Silverfort işletmeleri aşağıdaki azaltımları gerçekleştirmeye teşvik eder:
- Azure Erişim Denetimi'ndeki değişiklikleri inceleyin ve izleyin (IAM) ve yalnızca yetkili kullanıcıların Microsoft.ClassicStorage/storageAccounts/listKeys/action – Kerberos anahtar çıkarma işlemi için izinlere sahip olduğunu doğrulamak için paylaşımın erişim denetimi izinleri.
- Bounce the Ticket saldırısından kaçınmak için bulut TGT'lerini tutmasına izin verilen bilgisayar sayısını gereken minimum seviyeye indirin. Bunu, "Oturum açma sırasında Azure AD Kerberos Bilet Verme Biletinin alınmasına izin ver" grup ilkesini Azure AD Kerberos kullanan güvenlik gruplarıyla kısıtlayarak yapabilirsiniz.
