检测

存在风险的 Kerberos 委派

critical

语言:

描述

Kerberos 协议对 Active Directory 的安全至关重要,该协议允许某些服务器重复使用用户凭据。如果攻击者入侵其中一台服务器,他们就可以窃取这些凭证,并通过滥用“非约束委派”或“(基于资源的)约束委派”来对其他资源进行身份验证。

解决方案

域控制器帐户应为唯一能使用无约束委派的帐户。还应保护管理员免受任何类型存在风险的委派的影响。

另见

Kerberos 无约束委派(或入侵单个服务器如何危及整个域)

Get rid of accounts that use Kerberos Unconstrained Delegation

Abusing Resource-Based Constrained Delegation to Attack Active Directory

SPN-jacking: An Edge Case in WriteSPN Abuse

SPN-jacking

指标详细信息

名称: 存在风险的 Kerberos 委派

代码名称: C-UNCONST-DELEG

严重性: Critical

类型: Active Directory Indicator of Exposure

Family: 访问控制和权限

MITRE ATT&CK 信息:

攻击者已知工具

HarmJ0y, Elad Shamir: Rubeus