작업 허용
설명
소스 보안 주체가 대상 컴퓨터에서 Kerberos 리소스 기반 제한된 위임을 수행할 수 있습니다. 이것은 이 주체가 대상 컴퓨터에서 실행 중인 모든 서비스에 대하여 Kerberos를 사용하여 인증하면 어느 사용자로든 가장할 수 있다는 의미입니다.
따라서 이렇게 하면 대상 컴퓨터 전체를 침해하는 결과를 초래하는 경우가 많습니다.
이 공격은 일명 리소스 기반 제한 위임(Resource-Based Constrained Delegation, RBCD), Kerberos 리소스 기반 제한 위임(KRBCD), 리소스 기반 Kerberos 제한 위임(RBKCD)으로도 알려져 있으며 "다른 ID를 대신하여 작업할 수 있습니다".
악용
소스 보안 주체를 침해하는 공격자는 Rubeus와 같은 전용 해커 도구를 사용하여 적법한 Kerberos 프로토콜 확장자(S4U2self 및 S4U2proxy)를 악용해 Kerberos 서비스 티켓을 위조하고 표적 사용자로 가장할 수 있습니다. 공격자는 권한 있는 사용자로 가장하여 권한 있는 액세스를 얻을 가능성이 큽니다.
공격자는 서비스 티켓을 위조한 다음, Kerberos와 호환되는 각종 네이티브 관리 도구나 전문 해커 도구를 사용하여 원격으로 임의의 명령을 실행할 수 있습니다.
악용 시도가 성공하려면 다음과 같은 제약을 충족해야 합니다.
-
소스와 대상 보안 주체에 ServicePrincipalName이 있어야 합니다. Tenable Identity Exposure는 이 조건 없이 이 공격 관계를 만들지 않습니다.
-
스푸핑 표적인 계정이 "중요하고 위임할 수 없음"(UserAccountControl의 ADS_UF_NOT_DELEGATED)으로 표시되거나 "보호된 사용자" 그룹의 멤버여서는 안 됩니다. 이러한 계정은 Active Directory가 위임 공격으로부터 보호하기 때문입니다.
수정
소스 보안 주체에게 대상 컴퓨터에서 Kerberos 리소스 기반 제한 위임(RBCD)을 수행할 권한이 필요하지 않은 경우, 제거해야 합니다. 이 수정은 대상 쪽에서 수행해야 합니다("위임 허용" 위임 공격 관계와는 다름).
RBCD는 "Active Directory 사용자 및 컴퓨터"와 같은 기존의 그래픽 관리 도구로 관리할 수 없습니다. 대신 PowerShell을 사용하여 msDS-AllowedToActOnBehalfOfOtherIdentity 특성의 내용을 수정해야 합니다.
다음 명령을 사용하여 대상에서 작업이 허용된 소스 보안 주체를 나열합니다("액세스:" 섹션에서).
Get-ADComputer target -Properties msDS-AllowedToActOnBehalfOfOtherIdentity | Select-Object -ExpandProperty msDS-AllowedToActOnBehalfOfOtherIdentity | Format-List
나열된 보안 주체 중 원하는 것이 없으면, 다음 명령으로 모두 지울 수 있습니다.
Set-ADComputer target -Clear "msDS-AllowedToActOnBehalfOfOtherIdentity"
목록에서 보안 주체를 하나만 제거해야 하는 경우, 아쉽게도 Microsoft에서 직접적인 명령을 제공하지 않습니다. 제거할 항목만 뺀 동일한 목록으로 해당 특성을 덮어써야 합니다. 예를 들어 "sourceA", "sourceB"와 "sourceC"가 모두 허용되어 있고 "sourceB"만 제거하려는 경우, 다음을 실행합니다.
Set-ADComputer target -PrincipalsAllowedToDelegateToAccount (Get-ADUser sourceA),(Get-ADUser sourceC)
마지막으로, 중요한 권한 있는 계정이 그러한 위임 공격에 노출되는 정도를 제한하기 위한 일반적인 권장 사항으로, Tenable Identity Exposure에서는 관련된 운영상 영향을 주의하여 확인한 후에 "중요하고 위임할 수 없음"(ADS_UF_NOT_DELEGATED)으로 표시하거나 "보호된 사용자" 그룹에 추가하는 것을 권장합니다.
참고 항목