Délégation Kerberos dangereuse
critical
Langue :
Description
Le protocole Kerberos sur lequel repose la sécurité de l'Active Directory, autorise certains serveurs à réutiliser les identifiants des utilisateurs. Si l'un de ces serveurs est compromis, après avoir dérobé les identifiants, un attaquant peut s'authentifier sur d'autres ressources en exploitant la fonctionnalité « Délégation non contrainte » ou « Délégation contrainte (basée sur les ressources) ».
Solution
Les seuls comptes utilisant la délégation non contrainte devraient être les comptes de contrôleurs de domaine. Les administrateurs devraient également être protégés contre tout type de délégation dangereuse.
Voir aussi
Kerberos Unconstrained Delegation (or How Compromise of a Single ServerCan Compromise the Domain)
Get rid of accounts that use Kerberos Unconstrained Delegation
Abusing Resource-Based Constrained Delegation to Attack Active Directory
Détails de l'indicateur
Nom: Délégation Kerberos dangereuse
Nom de code: C-UNCONST-DELEG
Sévérité: Critical
Type: Active Directory Indicator of Exposure
- Tactique: TA0003 - Persistence
- Tactique: TA0004 - Privilege Escalation
Outils connus des attaquants
HarmJ0y, Elad Shamir: Rubeus