Windows Kerberos认证中存在一个关键漏洞,该漏洞显著扩大了Active Directory环境中凭据中继攻击的攻击面。攻击者通过滥用Windows客户端在Kerberos服务票据请求期间处理DNS CNAME响应的方式,可以诱使系统为攻击者控制的服务器请求票据,从而绕过传统防护措施。
攻击向量分析
该漏洞的核心在于一个基本行为:当Windows客户端收到DNS CNAME记录时,它会遵循别名。客户端使用CNAME主机名作为服务主体名称(SPN)来构造票据授予服务(TGS)请求。能够拦截DNS流量的攻击者可以利用这一点,迫使受害者向攻击者选择的目标请求服务票据。
这种技术需要攻击者通过ARP欺骗、DHCPv6欺骗(MITM6)或类似方法建立DNS中间人(MitM)攻击能力。
当受害者尝试访问合法域资产时,恶意DNS服务器会返回一个指向攻击者控制主机名的CNAME记录,以及一个解析为攻击者IP地址的A记录。这导致受害者使用为攻击者目标服务准备的票据向攻击者基础设施进行认证。
攻击能力与影响
测试证实,该漏洞在Windows 10、Windows 11、Windows Server 2022和Windows Server 2025的默认配置下均可成功利用。当未强制执行签名或通道绑定令牌(CBT)时,攻击可成功针对SMB、HTTP和LDAP等未受保护的服务。该漏洞已于2025年10月向微软负责任的披露。
作为回应,微软为HTTP.sys实现了CBT支持,并在2026年1月的安全更新中为支持的Windows Server版本发布了补丁(CVE-2026-20929)。然而,这种缓解措施仅解决了HTTP中继场景,底层的DNS CNAME强制原语仍未改变,其他协议仍然存在漏洞。
概念验证
研究人员在GitHub上发布了具有CNAME投毒能力的MITM6工具修改版。该工具支持针对特定域或所有DNS查询的定向CNAME投毒,包含用于ARP欺骗集成的纯DNS模式,并支持关键基础设施连接的直通功能。利用该工具需要Python 3.x和Linux操作系统。
Cymulate研究实验室建议组织采取分层防御措施:
这项研究揭示了一个关键的安全现实:Kerberos本身并不能防止中继攻击,防护措施的实施取决于服务级别。
仅禁用NTLM是不够的,组织必须明确地在每个支持Kerberos的服务上强制执行反中继保护,才能有效消除中继风险。对于希望深入了解此类安全/渗透/逆向技术的专业人员来说,理解这种攻击的网络/系统底层原理至关重要。
参考来源:
New Kerberos Relay Attack Uses DNS CNAME to Bypass Mitigations – PoC Released
https://cybersecuritynews.com/kerberos-relay-attack-uses-dns-cname/ | 
发表于 12 小时前
|
查看: 0|
回复: 0
