或许你不该痴情于 NetWare:微软的活动目录软件可遭绕过
翻译:360代码卫士团队
两名法国信息安全研究人员演示了如何攻击微软的活动目录 (Active Directory) 软件,在现有的企业设置中插入自己的域控制器。
上周,Mimikatz 的创建者 Benjamin Delpy 和 Vincent Le Toux 在以色列向微软举办的蓝帽大会上展示了他们的攻击技术 DCShadow。该攻击能让攻击者在活动目录环境下创建一个恶意域控制器,并推送恶意对象。Le Toux 在推特上发文解释了攻击的实现方式。他指出,“DCShadow 使用 DrsReplicaAdd (DRSR 4.1.19.2) 触发复制。它修改了一个活动目录的 replTo 属性并触发和立即复制。 ReplicaSync 不会触发复制,因为 replTo 未设置。”
活动目录领域的安全研究员 Luc Delsalle 对两人的研究结果做出了更加详细的说明。Delsalle 解释称,“恶意域控制器的想法并不新鲜,而且此前的很多研究论文也提到了多次,不过需要利用非入侵性技术(如安装带有 Windows Server 的虚拟机)并登录到常规域控制器,从而为目标域名将虚拟机推广到域控制器中。”
Delsalle 认为上述情况很容易被察觉到,他认为两人说明的攻击必须“将目标活动目录基础设施数据库进行修改以授权恶意服务器成为复制进程的一部分。”
他认为,“DCShadow 攻击的主要动作是在架构中的配置分区中创建一个新的服务器和 nTDSDSA 对象。”微软指出,nTDSDSA 对象是一种复制代理,负责处理目录复制服务 (Directory Replication Service) 协议。
尽管在权限环境中会发生这种变化,但攻击需要一种方式控制对服务器的创建和复制的初始化。Delsalle 表示两人的攻击能够“将复制进程通过所需的最小 SPN隔离。他们的研究成果表明,另外一个活动目录连接到恶意服务器,需要两个 SPN。”这两个SPN 即 DRS 服务类(它的 GUID 是 E3514235–4B06–11D1-AB04–00C04FC2DCD2)以及全局目录 (Global Catalog) 服务(具有字符‘GC’)。
随后,攻击者将域控制器注册到复制环境中,并经由另外一个域控制器认证。
最后一步是经由IDL_DRSReplicaAdd RPC 执行最后一个复制步骤,从而让攻击者“通过在管理员组中增加新成员的方式或者在受控的用户账户上设置 SID 历史”等方式将后门添加到域名中。
这会产生什么后果?Delsalle 指出,“DCShadow 并非是一个漏洞而是一种将非法数据注入到活动目录基础设施的创新方法。非权限攻击者无法通过这种攻击升级权限并获取对你的活动目录的管理员权限。但是,如果你的活动目录配置正确且安全,那么你就不必采取任何紧急措施。”
话虽如此,Le Toux 在一条推特上就 Delsalle 的 writeup 写了一个新的技术观点,或许我们应该记住这一点:
Ntdsa 对象在推送后就被删除——因此无法可靠地检测到它。
复制并非由 KCC 触发而是由修改 replTo 引发的。
DC SPN 是由 AddEntry (4.1.1.2.3 CreateNtdsDsa) 设置的。
关联阅读
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.theregister.co.uk/2018/01/30/dcshadow_active_directory_attack/