内网渗透(六十六)之Kerberos Bronze Bit 漏洞

Kerberos Bronze Bit 漏洞

漏洞背景

Kerberos Bronze Bit （CVE-2020-17049）漏洞是国外安全公司Netspi 安全研究员 Jake Karnes 发现的一个Kerberos安全功能绕过漏洞。该漏洞存在的原因在于KDC在确定Kerberos服务票据是否可用于通过Kerberos的约束性委派时，其方式中存在一个安全功能绕过漏洞。利用此漏洞，一个被配置为使用约束性委派的遭入侵服务可以篡改一个对委派无效的服务票据，从而迫使KDC接受它。

该漏洞启用的攻击是Kerberos委派引起的其它已知攻击的扩展。该漏洞绕过了现有攻击路径的以下两个缓解措施，提高了它们的有效性和通用功能性。

• 绕过了Protecd Users组内用户和设置了“敏感账号，不能被委派”的安全措施，导致了这些用户也可以被委派。
• 绕过在设置约束性委派时勾选“仅使用Kerberos”选项，既无法进行协议转换。

漏洞原理

我们首先来看一下KDC在约束性委派和基于资源的约束性委派校验过程中对于通过S4u2Self 请求的ST如何进行验证，验证流程如图所示，KDC首先会检查通过S4u2Self请求的ST的forwardable标志位：

1）如果该为0，也就是不可转发，则会在验证是否是RBCD委派

• 如果不是RBCD委派，则不返回票据

• 如果是RBCD委派，则再检查被委派的用户是否设置了不能被委派

• • 如果设置了，则不返回票据
• • 如果没设置，则返回票据<