添加密钥凭据

说明

源安全主体可通过利用密钥信任帐户映射(也称为密钥凭据或“影子凭据”)假冒目标。

这之所以可能实现是因为源有权编辑目标的 msDS-KeyCredentialLink 属性。

Windows Hello for Business (WHfB) 通常会使用此功能,但即使未使用该功能,攻击者也可加以利用。

渗透利用

危害源安全主体的攻击者必须使用 Whisker 或 DSInternals 等专门的黑客工具来编辑目标计算机的 msDS-KeyCredentialLink 属性。

攻击者的目标是向此目标的属性添加他们拥有其私钥的新证书。然后,他们会使用 Kerberos PKINIT 协议,通过已知私钥作为目标进行身份验证,从而获得 TGT。此协议还允许攻击者获取目标的 NTLM 哈希。

修复

多个本机特权安全主体在默认情况下拥有此权限,即 Account Operators、Administrators、Domain Admins、Enterprise Admins、Enterprise Key Admins、Key Admins 和 SYSTEM。这些合法的安全主体无需修复。

对于无修改此属性的合理需求的源安全主体,必须删除此权限。搜索“写入所有属性”、“写入 msDS-AllowedToActOnBehalfOfOtherIdentity”、“完全控制”等权限。

另请参阅