检测

AD Starter Scan - Kerberoasting 攻击

high Nessus 插件 ID 150480

语言:

简介

特权帐户容易遭受 Kerberoasting 攻击。

描述

通过 Kerberoast,攻击者可利用 Kerberos 认证协议的内部结构,并且通常会以具有特权的域用户帐户为目标。此攻击的目标是发现特权帐户的明文密码,并因此获得相关的权限。此攻击可从 Active Directory 环境内执行。攻击者只需要一个简单的非特权用户帐户即可。

如果为帐户设置了服务主体名称属性,则该帐户的基础安全性会受到进一步影响。通常,密码安全策略被配置为在连续发生几次密码失败后锁定帐户。
但是,设置此属性后,可以进行详尽的密码猜测。

特权帐户(例如 Domain Admins 群组中的帐户)通常是 Kerberoasting 攻击中的目标帐户。取得这些帐户的访问权限后可以入侵整个网域。

默认情况下,此检查会跳过已禁用的特权帐户。若要同时检查已禁用的特权帐户,请启用全面测试。

注意:AD Starter Scan 和相关插件旨在与较小的 AD 部署一起使用,以进行初步分析。对于最多 5,000 个用户、组或计算机的 AD 部署,预计可以获得准确的初步分析,而对于包含 Nessus、安全中心和漏洞管理的大型 AD 部署,将返回不完整的结果。如需进一步了解 Active Directory Starter Scan 插件发现的问题,请参阅此博客文章 - https://www.tenable.com/blog/new-in-nessus-find-and-fix-these-10-active-directory-misconfigurations

解决方案

为确保特权帐户不受 Kerberoast 攻击的影响,可采取不同的措施:

 - 从用户帐户中删除服务主体名称
 - 如果出于功能原因需要与用户帐户关联的服务主体名称,请改用无权限的帐户
 - 增加密码的复杂性:
 - 使用群组托管服务帐户 (gMSA),而非用户帐户
 - 为敏感帐户使用智能卡

另见

https://attack.mitre.org/techniques/T1558/003/

http://gost.isi.edu/publications/kerberos-neuman-tso.html

https://adsecurity.org/?p=3466

http://www.nessus.org/u?d5c4c81f

插件详情

严重性: High

ID: 150480

文件名: adsi_kerberoasting.nbin

版本: 1.96

类型: local

代理: windows

系列: Windows

发布时间: 2021/7/29

最近更新时间: 2024/5/20

配置: 启用全面检查

支持的传感器: Nessus Agent, Nessus

风险信息

CVSS 分数理由: Score based on an in-depth analysis by tenable.

CVSS v2

风险因素: High

基本分数: 7.1

矢量: CVSS2#AV:N/AC:H/Au:S/C:C/I:C/A:C

CVSS 分数来源: manual

CVSS v3

风险因素: High

基本分数: 7.5

矢量: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

漏洞信息

CPE: cpe:/a:microsoft:active_directory

必需的 KB 项: ldap_enum_person/available, ldap_enum_group/available