PACRequestorEnforcement und Kerberos-Authentifizierung

Während des Patch-Dienstags im November 2021 veröffentlichte Microsoft neue Sicherheitsupdates für Kerberos. Sie beinhalten neue Systemereignisse und neue Strukturen im Kerberos Privileged Attribute Certificate (PAC). Lassen Sie uns betrachten, welche Auswirkungen diese Updates auf den Betrieb und auf auf Kerberos-Ticket basierende Angriffe haben könnten.

Was gibt's Neues?

Gemäß den Standard-Microsoft-Updates gibt es einige neue KB-Artikel sowie Protokollaktualisierungen. Der Schwerpunkt liegt hier auf KB5008380, welcher die Updates für CVE-2021-42287 beschreibt.

PACRequestorEnforcement-Registrierungsschlüssel

Die Updates umfassen sowohl eine Implementierungs- als auch eine Durchsetzungsphase. Zum Testen und zur Beschleunigung können Sie die Durchsetzung jederzeit vor dem Erscheinen des Durchsetzungs-Updates implementieren (derzeit für den 12. Juli 2022 geplant).

Sie können das Verhalten des Patches konfigurieren, indem Sie den DWORD-Registrierungsschlüssel PACRequestorEnforcement unter HKEY_LOCAL_MACHINESystemCurrentControlSetServicesKdc auf Ihren Domänencontrollern anwenden.

PACRequestorEnforcement kann folgende Werte annehmen:

Protokollaktualisierungen

Die Updates vom November 2021 umfassten auch mehrere Protokollaktualisierungen für Kerberos und Active Directory; eine Übersicht darüber finden Sie hier. Für weitere Details müssen Sie sich die Errata ansehen und dann das Diff-Dokument in den Errata.

Aktualisierte PAC-Struktur

Das Privileged Attribute Certificate wird verwendet, um Autorisierungsinformationen für authentifizierte Benutzer zu kodieren; es enthält Gruppenmitgliedschaften, SID-Historie und allgemeine Benutzerinformationen. In den Nov 2021 Updates fügte Microsoft zwei neue Datenstrukturen in das PAC ein: PAC_ATTRIBUTES_INFO und PAC_REQUESTOR. Wenn PACRequestorEnforcement auf 2 gesetzt ist, sind beide neuen Felder erforderlich, damit das Kerberos-Ticket erfolgreich ist.

Einer der interessanteren Teile der Aktualisierungen ist die neue Validierung, die mit der PAC_REQUESTOR-Struktur eingeführt wurde. Wenn diese Struktur in einem Kerberos-Ticket enthalten ist, validiert der KDC (Domain Controller) nun, dass der Clientname (cname) (auch als Benutzername bezeichnet) der gleichen SID entspricht, die in der PAC_REQUESTOR-Struktur verwendet wird, vorausgesetzt, dass der Client und der KDC im gleichen Domain sind. Stimmt dies nicht überein, wird das verwendete TGT automatisch widerrufen und kann nicht verwendet werden. Dies geschieht nur, wenn der Client und der KDC im gleichen Domain sind.

Was bedeutet das für Golden Tickets?

Ein Golden Ticket ist ein gefälschtes Kerberos-Ticket, das Angreifer verwenden, um über lange Zeiträume Zugang zu hochprivilegierten Ressourcen zu erhalten, indem sie das PAC manipulieren.

Wenn der Durchsetzungsmodus aktiv ist, müssen Werkzeuge, die Golden Tickets erstellen, das PAC_REQUESTOR-Feld verwenden, das von dem Domänencontroller validiert wird. Das bedeutet, dass Golden Tickets für nicht existierende Benutzer nicht mehr möglich sind, wenn sie alle in derselben Domäne sind. Es ist jedoch immer noch möglich, nicht existierende Benutzer mit Trust Tickets zu verwenden (Golden Tickets, die zur Authentifizierung über eine Vertrauensstellung erstellt wurden, da die Validierung nur durchgeführt wird, wenn das Konto in derselben Domäne wie der Domänencontroller ist).

Die neuen Ereignisse (die in den Update-Notizen detailliert beschrieben sind) können weitere Indikatoren für Golden Tickets liefern, wie schlecht erstellte oder nicht aktualisierte Exploits. Diese neuen Ereignisse sollten in ein SIEM integriert werden, wenn Sie Windows-Protokollierung für die Bedrohungserkennung verwenden. Die Tabelle unten zeigt die verschiedenen Ereignisse im Detail:

Problems with the Update

Unfortunately, in the initial release of the November 2021 updates, certain Kerberos delegation scenarios were broken, so a new out-of-band patch was released for customers facing this issue. Sander Berkouwer at DirTeam have a nice write-up on this here, with links to each of the KBs available.

Conclusion

Whilst this is a good update and a step in the right direction, it would be great if we continue to see further protocol improvements by Microsoft for Kerberos, such as validating the new PAC_REQUESTOR structure across trusts (which should eliminate all non-existent user Golden Tickets) , verifying that memberships in the PAC are that of the resolved user, and maybe even verifying that information in the user profile is in the PAC and that the structure of the PAC is compliant. Having more native detections and preventions in place is never a bad thing and will help companies better defend themselves.