CVE-2020-17049は、Kerberosセキュリティ機能のバイパスの脆弱性であり、概念実証エクスプロイトコードによって攻撃されています。. PoCコードは、攻撃者がネットワークに接続されたサービスにアクセスできるようにする新しい攻撃手法を示しています。.
このような攻撃にはさまざまな影響があります. Windowsを実行しているシステム 10 アニバーサリーアップデートは、Microsoftがパッチに対処する前に、2つのエクスプロイトから保護されていました’ 問題. 新しい攻撃はブロンズビット攻撃の下に置かれ、それをパッチすることはマイクロソフトにとって非常に困難でした. エクスプロイトの初期修正は先月11月にリリースされました 2020 火曜日のパッチ.
でも, 一部のMicrosoftのお客様は、パッチで問題が発生していました, 今月は新しいものを発行する必要がありました.
CVE-2020-17049
NetSPIのセキュリティ調査JakeKarnesは、ネットワークエンジニアが脆弱性をよりよく理解できるように、CVE-2020-17049の技術的な内訳を公開しました。. 研究者はまた、テクニカル分析と一緒に概念実証コードを作成しました. 研究者によると、ブロンズビット攻撃は、Kerberos認証を目的とした既知のゴールデンチケットおよびシルバーティッカーエクスプロイトの新しいバリエーションです。. すべてのエクスプロイトに共通する要素は、攻撃者が企業の内部ネットワークを侵害した場合にそれらを利用できることです。.
Kerberos認証プロトコルは、それ以降、すべての標準Windowsバージョンに存在しているため 2000, 多くのシステムが危険にさらされている可能性があります. ネットワーク上の少なくとも1つのシステムを侵害し、パスワードハッシュを抽出した攻撃者は、それらを使用して、同じネットワーク上の他のシステムのクレデンシャルをバイパスおよび作成できます。. 唯一の条件は、Kerberosプロトコルが設定されていることです。.
ブロンズビット攻撃は、攻撃者が侵害しようとしている部分が他の2つとは異なります。. この場合, 脅威アクターは、Kerberosプロトコルの拡張機能としてMicrosoftによって追加されたS4U2selfおよびS4U2proxyプロトコルの後にあります. Karnesによると, S4U2selfプロトコルは、標的となるユーザーの侵害されたサービスへのサービスチケットを取得するために使用されます. サービスのパスワードハッシュは常に悪用されます.
“次に、攻撃は、転送可能なフラグが設定されていることを確認することにより、このサービスチケットを操作します (ひっくり返す “転送可能” ビットに 1). 改ざんされたサービスチケットは、S4U2proxyプロトコルで使用され、ターゲットユーザーからターゲットサービスへのサービスチケットを取得します。,” 研究者は説明した.
Kerberosプロトコルの詳細
Windows Active Directoryは、Kerberosプロトコルを使用してユーザーを認証します, サーバー, およびドメイン内で相互に他のリソース. このプロトコルは、各プリンシパルが長期秘密鍵を持っている対称鍵暗号に基づいています.
この秘密鍵は、プリンシパル自身と鍵配布センターによってのみ知られています。 (KDC). AD環境で, ドメインコントローラーはKDCの役割を果たします. (…) 各プリンシパルの秘密鍵に関する知識, KDCは、発行することにより、あるプリンシパルから別のプリンシパルへの認証を容易にします。 “切符売場。” これらのチケットにはメタデータが含まれています, 将来のチケットで使用できる認証情報と追加の秘密鍵, カーンズは言う 彼の理論的な記事で.
すでに述べたように, マイクロソフトは、この問題に対処するために、過去2か月間にいくつかのパッチをリリースしました. これらのパッチはにあります MSRC専用アドバイザリーガイド. マイクロソフトからのより多くの情報はこれで利用可能です サポート記事.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: