Kerberos协议

Kerberos 是一种网络认证协议，其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下， Kerberos 作为一种可信任的第三方认证服务，是通过传统的密码技术(如:共享密钥)执行认证服务的。

漏洞原理
 

 

图一 典型的身份验证过程

通过对Kerberos的分析发现以下几点问题：

1、密钥来源于用户密码;

2、密钥存储在内存中;

3、使用RC4加密算法的密钥没有进行加盐处理，NTLM哈希值即为RC4密钥;

4、KDC(密钥分配中心)使用的密钥来源于krbtgt用户密码，尽管该账户已被禁用，并且从未被使用;

5、krbtgt用户密码很少更改(只有当域功能级别改变时才有可能会更改)，且更改后的旧密码仍然可用;

6、TGT票据使用krbtgt密钥进行加密，PAC数据使用krbtgt密钥进行进行签名，并且系统很少会验证PAC数据;

7、Kerberos在用户登录20分钟后才会验证用户账户。

基于以上原因，攻击者可借助krbtgt密码绕过身份验证系统，获取管理员访问权限，进而执行一系列管理员操作(如创建用户，下载文件等)，还可以根据密码为用户创建响应的密钥。

缓解

据悉，该漏洞不能修复，因为这些都只是Kerberos的工作方式，唯一的解决方法是使用微软的Credential Guard程序阻止证书存储在内存中。为了防止Windows由于Kerberos遭到攻击，用户需要随时关注并保护特权帐户，因为其中很可能存在攻击者创建的账户。

(责任编辑：腰编辑)