Специалист по безопасности из NetSPI Джейк Карнес (Jake Karnes) опубликовал детальную информацию (1, 2) об уязвимости CVE-2020-17049, а также эксплоит для нее, назвав свою атаку Kerberos Bronze Bit.
Лежащий в основе атаки баг был обнаружен и исправлен еще в рамках ноябрьского «вторника обновлений», однако тогда после установки патчей у многих клиентов возникли серьезные сбои в работе: у контроллеров доменов предприятий наблюдались проблемы с аутентификацией Kerberos. В итоге в декабре Microsoft была вынуждена выпустить дополнительные исправления, которые устраняли возникшие сложности.
Напомню, что уже давно Kerberos заменил протокол NTLM и стал протоколом аутентификации по умолчанию для устройств, подключенных к домену, во всех версиях Windows выше Windows 2000.В ноябре было известно, что уязвимость CVE-2020-17049 может использоваться удаленно и связана с работой Kerberos Constrained Delegation (KCD).
Теперь же Карнес пишет, что созданная им атака Bronze Bit — это разновидность более старых и широко известных атак Golden Ticket и Silver Ticket, направленных против Kerberos. Интересно, что атака не получила название Bronze Ticket и была названа Bronze Bit, потому что она основана на переворачивании всего одного бита.
Подчеркивается, что все перечисленные методы посткомпрометации могут быть использованы лишь после того, как злоумышленник проник во внутреннюю сеть компании. Но если злоумышленник заразил хотя бы одну систему в сети компании и извлек хэши паролей, он может использовать их для обхода и подделки учетных данных от других систем в той же сети, если сеть полагается на протокол аутентификации Kerberos. Разница между Golden Ticket, Silver Ticket и Bronze Bit заключается в том, какие части протокола Kerberos эксплуатирует атакующий.
В случае Bronze Bit злоумышленник нацелен на протоколы S4U2self и S4U2proxy, которые Microsoft добавила к Kerberos в качестве расширений. Эксплоит Карнеса обходит сразу два защитных механизма для делегирования Kerberos и предоставляет хакерам возможность для бокового перемещения по сети, повышения привилегий и позволяет выдать себя за другого.
Как работает Bronze Bit
Лежащий в основе атаки баг был обнаружен и исправлен еще в рамках ноябрьского «вторника обновлений», однако тогда после установки патчей у многих клиентов возникли серьезные сбои в работе: у контроллеров доменов предприятий наблюдались проблемы с аутентификацией Kerberos. В итоге в декабре Microsoft была вынуждена выпустить дополнительные исправления, которые устраняли возникшие сложности.
Напомню, что уже давно Kerberos заменил протокол NTLM и стал протоколом аутентификации по умолчанию для устройств, подключенных к домену, во всех версиях Windows выше Windows 2000.В ноябре было известно, что уязвимость CVE-2020-17049 может использоваться удаленно и связана с работой Kerberos Constrained Delegation (KCD).
Теперь же Карнес пишет, что созданная им атака Bronze Bit — это разновидность более старых и широко известных атак Golden Ticket и Silver Ticket, направленных против Kerberos. Интересно, что атака не получила название Bronze Ticket и была названа Bronze Bit, потому что она основана на переворачивании всего одного бита.
Подчеркивается, что все перечисленные методы посткомпрометации могут быть использованы лишь после того, как злоумышленник проник во внутреннюю сеть компании. Но если злоумышленник заразил хотя бы одну систему в сети компании и извлек хэши паролей, он может использовать их для обхода и подделки учетных данных от других систем в той же сети, если сеть полагается на протокол аутентификации Kerberos. Разница между Golden Ticket, Silver Ticket и Bronze Bit заключается в том, какие части протокола Kerberos эксплуатирует атакующий.
В случае Bronze Bit злоумышленник нацелен на протоколы S4U2self и S4U2proxy, которые Microsoft добавила к Kerberos в качестве расширений. Эксплоит Карнеса обходит сразу два защитных механизма для делегирования Kerberos и предоставляет хакерам возможность для бокового перемещения по сети, повышения привилегий и позволяет выдать себя за другого.
Как работает Bronze Bit