安全公告编号:CNTA-2015-0029

近日，国家信息安全漏洞共享平台（CNVD）收录了Kerberos网络认证协议存在认证绕过漏洞（CNVD-2015-08300）。攻击者利用漏洞可借助krbtgt密码绕过身份验证系统，获取管理员访问权限，进而执行一系列管理员操作。

一、漏洞情况分析

Kerberos是美国麻省理工学院（MIT）开发的一套网络认证协议，采用客户端/服务器结构，且客户端和服务器端均可对对方进行身份认证（即双重验证）。以下是对Kerberos工作方式的分析：

1、密钥来源于用户密码；

2、密钥存储在内存中；

3、使用RC4加密算法的密钥没有进行加盐处理，NTLM哈希值即为RC4密钥；

4、KDC（密钥分配中心）使用的密钥来源于krbtgt用户密码，尽管该账户已被禁用，并且从未被使用；

5、krbtgt用户密码很少更改（只有当域功能级别改变时才有可能会更改），且更改后的旧密码仍然可用；

6、TGT票据使用krbtgt密钥进行加密，PAC数据使用krbtgt密钥进行进行签名，并且系统很少会验证PAC数据；

7、Kerberos在用户登录20分钟后才会验证用户账户。

基于以上原因，攻击者可借助krbtgt密码绕过身份验证系统，获取管理员访问权限，进而执行一系列管理员操作（如创建用户，下载文件等），还可以根据密码为用户创建响应的密钥。CNVD对该漏洞的综合评级为“中危”。

二、漏洞影响范围

漏洞影响Kerberos所有版本。

Kerberos协议是Winodws操作系统下的网络认证协议。由于国内大量用户使用Windows系统，该漏洞影响用户范围广泛。

三、漏洞处置情况和修复

鉴于其自身的协议原理，厂商暂未能提供完善的漏洞修复方案。相关的临时防护建议如下：

使用微软的Credential Guard程序阻止证书存储在内存中；

关注并保护特权帐户，以防攻击者创建账户，进而攻击Windows操作系统。

附：参考链接：

http://www.theregister.co.uk/2015/12/15/devastating_flaw_in_windows_authentication

http://www.secwk.com/article/app/detail/816193677154901217?from=groupmessage&isappinstalled=0

http://www.cnvd.org.cn/flaw/show/CNVD-2015-08300