安全公告編號:CNTA-2015-0029

近日，國家信息安全漏洞共享平臺（CNVD）收錄了Kerberos網絡認證協議存在認證繞過漏洞（CNVD-2015-08300）。攻擊者利用漏洞可借助krbtgt密碼繞過身份驗證系統，獲取管理員訪問權限，進而執行一系列管理員操作。

一、漏洞情況分析

Kerberos是美國麻省理工學院（MIT）開發的一套網絡認證協議，采用客戶端/服務器結構，且客戶端和服務器端均可對對方進行身份認證（即雙重驗證）。以下是對Kerberos工作方式的分析：

1、密鑰來源于用戶密碼；

2、密鑰存儲在內存中；

3、使用RC4加密算法的密鑰沒有進行加鹽處理，NTLM哈希值即為RC4密鑰；

4、KDC（密鑰分配中心）使用的密鑰來源于krbtgt用戶密碼，盡管該賬戶已被禁用，并且從未被使用；

5、krbtgt用戶密碼很少更改（只有當域功能級別改變時才有可能會更改），且更改后的舊密碼仍然可用；

6、TGT票據使用krbtgt密鑰進行加密，PAC數據使用krbtgt密鑰進行進行簽名，并且系統很少會驗證PAC數據；

7、Kerberos在用戶登錄20分鐘后才會驗證用戶賬戶。

基于以上原因，攻擊者可借助krbtgt密碼繞過身份驗證系統，獲取管理員訪問權限，進而執行一系列管理員操作（如創建用戶，下載文件等），還可以根據密碼為用戶創建響應的密鑰。CNVD對該漏洞的綜合評級為“中危”。

二、漏洞影響范圍

漏洞影響Kerberos所有版本。

Kerberos協議是Winodws操作系統下的網絡認證協議。由于國內大量用戶使用Windows系統，該漏洞影響用戶范圍廣泛。

三、漏洞處置情況和修復

鑒于其自身的協議原理，廠商暫未能提供完善的漏洞修復方案。相關的臨時防護建議如下：

使用微軟的Credential Guard程序阻止證書存儲在內存中；

關注并保護特權帳戶，以防攻擊者創建賬戶，進而攻擊Windows操作系統。

附：參考鏈接：

http://www.theregister.co.uk/2015/12/15/devastating_flaw_in_windows_authentication

http://www.secwk.com/article/app/detail/816193677154901217?from=groupmessage&isappinstalled=0

http://www.cnvd.org.cn/flaw/show/CNVD-2015-08300