为Azure AD Kerberos潜在横向移动开发的缓解措施
新的云环境安全漏洞:攻击Azure AD Kerberos的威胁
关键要点
研究人员发现攻击者可以利用新的微软云认证协议,窃取或伪造云票据,从而在基于云的Azure AD Kerberos中进行横向移动。Silverfort团队发明了两种新的攻击变体,名为“Bounce the Ticket”和“Silver Iodide”。微软表示,这些问题并不被视为传统的漏洞,因此不会修复。安全专家建议加强Azure AD的访问控制和审计。在一篇1月24日的博客文章中,Silverfort的研究人员发布了相应的缓解措施,并解释了这一新攻击源于早已存在的Silver票证和“通行票” (PTT) 的攻击,这些是利用Kerberos在公司内部进行横向移动的知名攻击手法。作为迁移到云端的一部分,微软将Azure AD Kerberos可用作云资源的认证,用户不再需要依赖传统的本地AD版本。
Silverfort团队为Azure AD Kerberos开发了两种Silver票证和PTT的变体,命名为Bounce the Ticket和Silver Iodide。研究人员表示,这些新攻击对托管基础设施如服务器和存储构成了恶意访问的风险。
Silverfort的高级安全研究员Dor Segal表示,他们在发表研究之前就向微软披露了此问题,以让其了解情况。Segal表示,由于微软并不将此视为传统的漏洞,因此不打算修复所提出的问题。
微软发言人补充,这种技术并不是漏洞,潜在攻击者需要具备提升或管理权限,才能成功使用这些技术访问存储账户的数据。
“微软建议客户定期审查其角色定义,包括列表密钥权限,并启用防止攻击者窃取凭据的软件,例如凭据保护,”发言人说道。
Segal还解释说,身份攻击通常依赖于滥用认证协议的底层机制,而不是利用弱代码。因而,修复这样的协议通常并不是简单地推出补丁。出于这个原因,这些攻击并不按传统软件漏洞来分类。
“滥用遗留的本地Kerberos认证流程在威胁行为者中是家常便饭例如,APT29就曾在横向移动中使用过,”Segal说。“意识到这一点后,我们认识到攻击者可能确实在检查这些技术是否适用于Azure AD Kerberos,因此我们开始帮助安全社区更好地理解这种可能性。”
蘑菇加速器下载安卓版安全研究员Davis McCarthy表示,弱票据加密和从内存中提取凭据的方式已经使网络攻击的成功率大大提高,甚至成为黑客攻击Windows域的常见手法。他还指出,只需对现有工具做一些修改,Azure AD就和本地安装一样容易受到已知TTP的攻击。
“单纯将应用程序迁移到云端并不会使其更安全,通常只是扩展资源并改善可用性,”McCarthy解释道。“如果应用程序的基础架构不安全,攻击面会转移,但最终保持不变。这种理念体现在研究中,因为保护Kerberos的缓解措施是减少其攻击面并提高其协议功能的可见性。”
Silverfort的Segal提到,当Azure AD Kerberos在一年多前发布预览版时,团队就开始研究这一新实现,并在此过程中开发了两种缓解措施。
Silverfort建议安全团队采取以下措施:
操作说明审查和监控Azure访问控制及共享的访问权限确保只有授权用户具备MicrosoftClassicStorage/storageAccounts/listKeys/actionKerberos密钥提取操作的权限。减少允许托管云票证的计算机数量将“在登录时允许检索Azure AD Kerberos票证授权票”组策略限制为使用Azure AD Kerberos的安全组。通过这些措施,可以