# Active Directory 安全：有時候真實比小說更加荒誕 - 姜尚德, 蘇學翔 {%hackmd @HITCON/r1cl60dRc %} > 從這開始 --- KrbRelayUp 問題可能還沒好解法 > 臺資安業者揭露國內AD防護現況，盤點AD攻擊路徑與管理者帳號是當務之急另一AD安全問題，是今年2月揭露的KrbRelayUp漏洞。正如前幾年多人討論Kerberos Relay的漏洞，這次KrbRelayUp以兩個漏洞組合形成新的攻擊，攻擊者可將任意網域帳號在本地電腦提權，目前看來恐怕無解，甚至有研究人員稱其為永遠的零時差漏洞。 https://www.ithome.com.tw/news/151458 --- ## 常見管理問題 * 管理群組 * 維運 日常帳號分隔 * 設定檢查 * 盤點帳號權限 * 核心資產範圍 ## 管理群組 No admin group 大家都是 domain admins 預設群組用好用滿 (大部分人不用 admin，一個人失守全部淪陷) 建議動作：權限分隔 人員與維運帳號分開 --- ## 案例 大家都是管理員 管理群組成員關聯強烈 * 群組成員來自不同部門(OU) * 知道要管 但力不從心 * 開了群組處理重設密碼 但成員組成不明 * 開了多層管理權限層疊 權限不清 pwd mgmt 看起來是管理密碼群組，但有 general All 權限 --- ## 維運 日常帳號分隔 管理帳號到處留下蹤跡 * 管理帳號沒切割 造成 Credential Dumping(超常見) * 惡意者 cache Credential mimikatz rubeus mscash * relay auth krb relay(kerberos relay) RemotePotato0(NTLM relay) Lsarelayx(NTLM relay+downgrade) ## jumpbox 現象 7天有279帳號 rdp 到同一台電腦，再 RDP 到自己主機 因為設定 Server 電腦讓員工共用主機 惡意者攻擊方式 * Cross-session attack * Relay Auth 到 ADCS --- ## 設定檢查 各種設定錯誤 * Default Component Group Policy 讓不預期人員改 GPO SPN on Users 被破解密碼的風 Network Shares 權限開太大 * Auth related AD CS權限 --- ## "我們的"憑證 錯誤設定憑證範本權限 要賦予所有使用者註冊權限 多給予修改權限 造成使用者可以修改"範本內容" 從而提權到 Domain Admins 1. 使用者修改範本 2. 使用者把自己套用範本權限 3. 憑證上面寫上 我可以代表任何人 4. 使用者把自己改成代表 admin ## AAD Connect Service Account --- ## 盤點帳號權限 對於特定資產該賦予權限沒概念 #### Exchange AD Privesc #### OU權限: 我是你的主人 --- ## 核心資產範圍 Tier 0: Tier 1: Tier 2: #### 你以為的核心資產 #### 如何解決 scan the privilege monitoring professional advise --- ###### tags: `HITCON2022`,`HITCON`