Kerberos Double Hop Problem
Introduzione
Il problema del "doppio salto" di Kerberos si verifica quando un attaccante tenta di utilizzare l'autenticazione Kerberos attraverso due salti, ad esempio utilizzando PowerShell/WinRM.
Quando avviene un'autenticazione tramite Kerberos, le credenziali non vengono memorizzate in memoria. Pertanto, se esegui mimikatz non troverai le credenziali dell'utente nella macchina anche se sta eseguendo processi.
Ciò avviene perché quando ci si connette con Kerberos, avvengono i seguenti passaggi:
L'utente fornisce le credenziali e il domain controller restituisce un TGT di Kerberos all'utente.
L'utente utilizza il TGT per richiedere un service ticket per connettersi a Server1.
L'utente si connette a Server1 e fornisce il service ticket.
Server1 non ha le credenziali di User1 memorizzate o il TGT di User1. Pertanto, quando User1 da Server1 tenta di accedere a un secondo server, non è in grado di autenticarsi.
Delega non vincolata
Se la delega non vincolata è abilitata nel PC, ciò non accadrà poiché il Server otterrà un TGT di ciascun utente che vi accede. Inoltre, se viene utilizzata la delega non vincolata, è probabile che si possa compromettere il Domain Controller da essa. Ulteriori informazioni nella pagina sulla delega non vincolata.
CredSSP
Un altro modo per evitare questo problema, che è notoriamente insicuro, è il Credential Security Support Provider. Da Microsoft:
L'autenticazione CredSSP delega le credenziali dell'utente dal computer locale a un computer remoto. Questa pratica aumenta il rischio di sicurezza dell'operazione remota. Se il computer remoto viene compromesso, quando le credenziali vengono trasmesse ad esso, le credenziali possono essere utilizzate per controllare la sessione di rete.
È altamente consigliabile disabilitare CredSSP nei sistemi di produzione, nelle reti sensibili e in ambienti simili a causa di preoccupazioni per la sicurezza. Per determinare se CredSSP è abilitato, è possibile eseguire il comando Get-WSManCredSSP
. Questo comando consente di verificare lo stato di CredSSP e può essere eseguito anche in remoto, a condizione che WinRM sia abilitato.
Soluzioni alternative
Eseguire il comando
Per affrontare il problema del doppio salto, viene presentato un metodo che coinvolge un Invoke-Command
nidificato. Questo non risolve direttamente il problema ma offre una soluzione alternativa senza la necessità di configurazioni speciali. L'approccio consente di eseguire un comando (hostname
) su un server secondario tramite un comando PowerShell eseguito da una macchina di attacco iniziale o tramite una sessione PS precedentemente stabilita con il primo server. Ecco come si fa:
Registrazione della configurazione della sessione PSSession
Una soluzione per aggirare il problema del doppio salto coinvolge l'utilizzo di Register-PSSessionConfiguration
con Enter-PSSession
. Questo metodo richiede un approccio diverso rispetto a evil-winrm
e consente una sessione che non soffre del limite del doppio salto.
InoltroPorta
Per gli amministratori locali su un target intermedio, l'inoltro porta consente di inviare richieste a un server finale. Utilizzando netsh
, è possibile aggiungere una regola per l'inoltro porta, insieme a una regola del firewall di Windows per consentire la porta inoltrata.
winrs.exe
winrs.exe
può essere utilizzato per inoltrare le richieste WinRM, potenzialmente come opzione meno rilevabile se preoccupa il monitoraggio di PowerShell. Il comando di seguito ne dimostra l'uso:
OpenSSH
L'installazione di OpenSSH sul primo server consente di aggirare il problema del doppio hop, particolarmente utile per scenari di jump box. Questo metodo richiede l'installazione e la configurazione della CLI di OpenSSH per Windows. Quando configurato per l'Autenticazione della Password, ciò consente al server intermedio di ottenere un TGT per conto dell'utente.
Passaggi di Installazione di OpenSSH
Scaricare e spostare il file zip dell'ultima versione di OpenSSH sul server di destinazione.
Estrarre e eseguire lo script
Install-sshd.ps1
.Aggiungere una regola del firewall per aprire la porta 22 e verificare che i servizi SSH siano in esecuzione.
Per risolvere gli errori di Connection reset
, potrebbe essere necessario aggiornare i permessi per consentire a tutti di leggere ed eseguire l'accesso alla directory di OpenSSH.
Riferimenti
Last updated