语言:
2014年,一种新型的攻击是针对披露特权域用户帐户。这种攻击称为Kerberoast,利用内部机制的Kerberos身份验证协议。这种攻击的目标是发现一个帐户的明文密码,因此相关的权利。这种攻击可以从一个活动目录环境中执行。所有的攻击者需要的是一个简单的、无特权的用户帐户。
在一个特定的活动目录属性设置在一个帐户(服务主体名称),这个帐户的底层安全受到影响。这种攻击依赖于这样的事实,这个账户可以猜到的密码。一般来说,一个帐户密码安全策略配置为锁后连续几个密码失败。然而,在这种攻击中没有域上设置的安全机制能够防止穷举攻击密码。
一些特权帐户通常是有针对性的,例如域管理员组的用户。这些账户可以导致一个完整的域妥协非常快,应该防止这样的Kerberos配置的威胁。
的KerberoastingIOA提出警报在攻击者试图利用这个漏洞。这并不排除的必要性首先解决这个问题。
特权帐户不应该有一个服务主体名称。
横切ATT&CK——偷窃或伪造Kerberos票据:Kerberoasting
卑鄙的持久性Active Directory技巧:将spn Kerberoasting晚些时候管理账户