Gefährliche Kerberos-Delegierung

critical

Sprache:

Beschreibung

Das Kerberos-Protokoll, das für die Sicherheit von Active Directory von zentraler Bedeutung ist, ermöglicht bestimmten Servern die Wiederverwendung der Anmeldeinformationen von Benutzern. Wenn ein Angreifer solch einen Server kompromittiert, könnte er diese Anmeldeinformationen stehlen und sie verwenden, um sich bei anderen Ressourcen zu authentifizieren, indem er die „uneingeschränkte Delegierung“ oder die „(ressourcenbasierte) eingeschränkte Delegierung“ missbraucht.

Lösung

Die einzigen Konten mit uneingeschränkter Delegierung sollten die Domänencontrollerkonten sein. Administratoren sollten auch vor gefährlichen Delegierungstypen geschützt werden.

Siehe auch

Unbeschränkte Kerberos-Delegierung (oder Wie die Kompromittierung eines einzelnen Servers die Domäne kompromittieren kann)

Get rid of accounts that use Kerberos Unconstrained Delegation

Abusing Resource-Based Constrained Delegation to Attack Active Directory

SPN-jacking: An Edge Case in WriteSPN Abuse

SPN-jacking

Indikatordetails

Name: Gefährliche Kerberos-Delegierung

Codename: C-UNCONST-DELEG

Schweregrad: Critical

Typ: Active Directory Indicator of Exposure

MITRE ATT&CK-Informationen:

Taktik: TA0003 – Persistenz -
Taktik: TA0004 – Rechteausweitung -

Bekannte Tools von Angreifern

HarmJ0y, Elad Shamir: Rubeus