Windows Kerberos驗證恐被DNS別名誘導,微軟補強HTTP服務防中繼攻擊
攻擊機制與風險說明
資安業者Cymulate研究團隊揭露,Windows在進行Kerberos服務驗證時,建構服務主體名稱(Service Principal Name,SPN)的流程會跟隨DNS回應的CNAME別名,並以別名主機名稱向票證授權服務TGS索取服務票證。研究人員指出,要是攻擊者能在網路路徑上攔截或竄改受害者的DNS查詢,就可能誘導用戶端替攻擊者指定的SPN索取票證,再把票證中繼到未強制簽章或未強制通道(Channel)綁定權杖CBT的服務,達到冒用使用者身分存取資源的效果。
微軟回應與補強措施
微軟已針對此問題發布更新,並在1月修補相關漏洞,擴及多個Windows版本與域控制器環境。相關更新也包含對Kerberos驗證流程的強化,以防止攻擊者透過DNS CNAME記錄進行憑證中繼攻擊。
相關技術分析與來源
- 技術細節:攻擊者可操控DNS設定,誘使系統將驗證流量導向攻擊者控制的伺服器,繞過傳統Kerberos對服務主體名稱(SPN)的驗證機制。
- 補丁資訊:微軟在2025年1月發布更新,修復了與Kerberos驗證相關的漏洞,並強化了對DNS CNAME行為的防護。
- 相關連結:https://www.ithome.com.tw/news/173567