什么是特权属性证书 (PAC)？

金票攻击是一种恶意网络攻击，其目标是组织的 Microsoft Active Directory (AD)，以获得对其域的广泛访问权限。此攻击利用 AD 使用的 Kerberos 身份验证协议中的漏洞，使攻击者能够绕过正常的身份验证。随着远程工作和云采用的趋势不断增长，攻击面已经超出了传统边界，增加了攻击者渗透网络并使用金票攻击获得未经授权访问的机会。 2021 年 11 月发布了 KB5008380 补丁来解决此漏洞并增强身份验证。目标是通过提供有关请求帐户的票证授予票证 (TGT) 的更多详细信息来改进 Kerberos 特权属性证书 (PAC)。虽然此更新旨在增强身份验证过程，但它并非没有局限性，并且实施这些更改将影响票证模拟和检测方法。

什么是特权属性证书？

特权属性证书 (PAC) 是 Kerberos 服务票证的扩展，它保存有关用户及其权限的信息。当用户进行身份验证时，它由 Active Directory (AD) 域中的域控制器添加。这允许其他系统通过用户的票证访问 PAC 并确定其权限，从而无需咨询域控制器。

PAC数据用于用户授权并包含访问不同服务的权限。在身份验证和授权过程中，它会从一张票复制到另一张票。此更新在 PAC 中引入了新结构，其中包括用户安全标识符 (SID)。在此过程中，SID 由 KDC 验证。更新分为三个阶段，以便组织有时间理解和实施更改。该更新还包括用于检测基于票证的攻击的新系统事件。进攻工具已更新，以支持新旧 PAC 结构。新的 PAC_REQUESTOR 结构在 KDC 中进行验证，如果该结构丢失或与 TGT 中的用户名不匹配，则可以指示攻击成功。该更新提供了妥协指标，以帮助识别企图攻击。虽然更新不能完全防止金票攻击，但它添加了有意义的指标来帮助检测。

利用特权属性证书的攻击

由于其中存储的数据量很大，特权属性证书很容易受到各种 Windows AD 攻击方法的影响，从而成为主要目标。以下是用于利用特权属性证书的一些最著名的技术。

提权攻击：2014年，Windows Server 2012 R2及更早版本的PAC验证算法中的一个漏洞被公开，使得PAC容易受到AD提权攻击。此漏洞允许攻击者为任何受损的用户帐户创建伪造的 PAC，从而授予他们域管理员权限。 Windows 的网络安全团队立即发布了 MS14-068 更新来解决此漏洞。有关该漏洞和补丁的更多详细信息可以在微软的帖子中找到。要测试此漏洞，可以使用 Python Kerberos Exploitation Kit (PyKEK) 或 Kekeo 等工具。

金票和银票：攻击者可以使用金票和银票通过伪造票证授予票证 (TGT) 和票证授予服务 (TGS) 票证来利用 Active Directory。如上所述，黄金票证允许攻击者为域中的任何用户创建有效的 TGT 并操纵他们的权限。这可以使用被盗的 KDC 密钥来完成，并使攻击者能够在避免检测的同时执行特权活动。另一方面，银票允许攻击者为 TGS 票证伪造 Active Directory PAC，从而授予他们对特定主机上的服务的特定权限。通过窃取服务的密码哈希，攻击者可以为该服务创建 TGS 票证。即使权限有限的服务帐户也可能会使用 Silver Tickets 受到损害，因为攻击者可以通过伪造 PAC 来授予这些帐户额外的权限。金票和银票可以为用户提供特权组的成员资格，从而有效地授予他们高级访问权限。

特权属性证书验证

围绕伪造的 PAC 实施安全性涉及使用 PAC 验证，尽管它不是一个完整的解决方案。 PAC 验证涉及根据 Active Directory 检查用户的 PAC 以确保其真实性。但是，此验证仅在某些条件下发生，例如当用户没有某些权限或未在特定上下文中运行时。因此，PAC 验证并不能完全防止攻击者使用银票和金票。但是，即使启用了 PAC 验证，这些类型的票证仍然可以用于目标系统。

检查用户的 PAC

要轻松检查用户的特权属性证书，您可以使用名为 getPAC.py 的有用脚本，您可以在 GitHub 上找到该脚本。通过在 Windows 上使用 CommandoVM 可以进一步简化该过程，其中包含脚本的可执行版本，并且不需要 Python 依赖项。使用 getPAC.py 脚本，您可以检索用户的 PAC 设置和相关信息，而无需任何特殊权限。这不仅仅包括团体成员身份。有关这些结果的详细说明，Microsoft 的 PAC 数据结构文档提供了更多信息。

Lepide 如何帮助保护 Active Directory

Lepide 数据安全平台提供了一个可扩展的解决方案，用于审核 Active Directory 中的文件、文件夹、配置和权限更改。我们的平台提供有关 Active Directory 审核的“人员、内容、地点和时间”的重要见解，使您能够增强安全性、进行调查、最大限度地减少特权滥用的危险并履行合规义务。我们的解决方案提供了比 PAC 客户端验证和 getPAC.py 等脚本更强大的保护级别。 Lepide数据安全平台还可以在以下方面提供帮助：

威胁检测：实时检测和响应复杂的威胁，防止违规并最大限度地减少对系统的损害。

高级密码策略：实施强密码策略并保护凭据免受复杂威胁。

即时访问：用临时访问权限替换常设特权帐户，限制未经授权访问的风险。

合规性审计：生成必要的安全报告以满足合规性要求并促进审计。

自动威胁响应：自动响应预期威胁，从而实现快速有效的缓解。

Active Directory 恢复：回滚对 Active Directory 进行的任何意外删除或更改，以确保连续性并最大程度地减少中断。

通过使用 Lepide 的 Active Directory 安全解决方案，您可以显着增强对系统的保护、降低风险并维护数据的完整性和安全性。如果您想了解 Lepide 数据安全平台如何帮助您检测和响应金票和银票攻击，请与我们的一位工程师安排演示或立即开始免费试用。