运行 Kerberos 服务的特权帐户

critical

描述

2014 年,出现了一种名为 Kerberoast 的新型攻击,它利用 Kerberos 身份验证协议的内部机制来攻击具有特权的域用户帐户。攻击者的目标是发现帐户的明文密码,从而获取相关的权限。
攻击者可以使用简单的非特权用户帐户,在 Active Directory 环境内发起这种攻击。如果在帐户上设置了特定的 Active Directory 属性 (servicePrincipalName),该帐户的基础安全便会受到影响。攻击者可能会猜出该帐户的密码,而传统的安全机制(连续几次密码输入错误后锁定帐户)无法阻止对密码的穷举攻击。
一些特权非常高的帐户通常是攻击的目标,例如,域管理员组用户。此类帐户可能会迅速导致整个域遭受入侵,因此应保护其免受这种 Kerberos 配置威胁。
Kerberoasting​ 攻击指标可以在攻击者试图利用这些漏洞时发出安全警报。然而,仍然有必要解决潜在的问题,以保护会迅速导致整个域遭受入侵的高特权帐户。

解决方案

特权帐户不应具有 Service Principal Name。

另见

Kerberos:计算机网络的身份验证服务

身份验证密钥第二阶段 - Kerberos 反击

MITRE ATT&CK - Steal or Forge Kerberos Tickets: Kerberoasting

Sneaky Persistence Active Directory Trick: Dropping SPNs on Admin Accounts for Later Kerberoasting

指标详细信息

名称: 运行 Kerberos 服务的特权帐户

代码名称: C-PRIV-ACCOUNTS-SPN

严重程度: Critical

MITRE ATT&CK 信息:

策略: TA0004

技术: T1078

攻击者已知工具

Kerberoast

Empire

Impacket

PowerSploit