漏洞机制解析
Active Directory站点原本旨在通过管理跨地域复制与身份验证,优化分布式组织的网络性能。然而Synacktiv安全研究人员证实,这些被视为安全的网络管理工具可被武器化,对企业环境发动高强度攻击。
漏洞根源在于Active Directory站点可与组策略对象(GPO)关联,而GPO控制着整个组织的系统配置。当攻击者获得对站点或其关联GPO的写入权限时,即可注入恶意配置,直接危害所有连接该站点的计算机(包括域控制器)。这种攻击方式能够绕过常规安全防御,直接导致全域沦陷。
权限提升路径
攻击主要通过利用三种站点对象权限实现:GenericAll、GenericWrite及WriteGPLink。这些权限常被管理员在未充分认知风险的情况下委派。一旦掌握权限,攻击者既可毒化现有GPO,也可创建执行任意命令的恶意GPO。相关命令能在受控系统中将攻击者账户添加至管理员组,数分钟内即可获得域管理员权限。
横向移动风险
最危险的特性在于Active Directory站点可实现横向移动。包含站点信息的配置分区会在整个范围内复制,这意味着受控域控制器可修改影响其他域的站点配置。该技术能绕过通常用于阻止跨域攻击的传统SID过滤防护机制。Synacktiv研究团队证实,子域攻击者仅需将恶意GPO链接至承载根域控制器的站点,即可直接危害根域。
防御盲点警示
此攻击向量暴露出多数企业安全策略存在重大盲点。管理大型Active Directory环境的防御团队需立即采取应对措施,重点审查站点与GPO的权限关联配置,强化跨域安全监控机制。
参考来源:
Hackers Can Attack Active Directory Sites to Escalate Privileges and Compromise the Domain
电台讨论
