Dauerkarte für Windows-Domänen: das "golden ticket"
Stellt Euch mal folgendes vor... jemand hat sich eines Windows-Domänenadminkennwortes bemächtigt - Euch fällt das auf und ihr ändert alle Nutzer-Kennwörter, inklusive aller Domänenadmins... und doch kann der jenige sich bei geeigneter Vorarbeit jederzeit wieder Zugriff verschaffen.
Das ist traurige Realität, wie dieses Tutorial nachweist.
http://blog.cobaltstrike.com/2014/05/14/meterpreter-kiwi-extension-gold ...
Das ist traurige Realität, wie dieses Tutorial nachweist.
http://blog.cobaltstrike.com/2014/05/14/meterpreter-kiwi-extension-gold ...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 240291
Url: https://administrator.de/forum/dauerkarte-fuer-windows-domaenen-das-golden-ticket-240291.html
Ausgedruckt am: 21.12.2024 um 17:12 Uhr
9 Kommentare
Neuester Kommentar
Oha, da muss ich mir gleich eine Notiz machen das das Password des "krbtgt" in solchen Fällen zu ändern ist...
An manchen Stellen wird allerdings erwähnt das Windows diese Passwort auch selbstständig ändert, aber wahrscheinlich orintiert es sich dabei an der Gültigkeitsdauer der ausgegebenen Tickets
Danke für den Hinweis
An manchen Stellen wird allerdings erwähnt das Windows diese Passwort auch selbstständig ändert, aber wahrscheinlich orintiert es sich dabei an der Gültigkeitsdauer der ausgegebenen Tickets
Danke für den Hinweis
Sers,
vielen Dank für den Post. Da läuft es einem schon kalt den Rücken runter...
Noch trauriger: es reicht allein der phyisikalische Zugang zu einem (unverschlüsselten) DC mit Tastatur und etwa Windows Server DVD bzw. USB Stick. Hängt damit zusammen dass MS im Logon Screen nicht prüft ob der "OnScreen Tastatur Button" auch wirklich auf die korrekte osk.exe-Datei zeigt. Die osk.exe umbennen, etwa die cmd.exe kopieren und in osk.exe benennen, reboot, und schon hast du ne Kommandozeile mit SYSTEM-Rechten auf dem Logon Screen des DC.
Effekt? All your base are belong to us.
Betroffen sind Vista bis 2012 R2.
Problematisch gerade wenn in kleinen Filialen oder Aussenstellen einfach nur ein kleiner Server als DC, Druckerserver und vielleicht noch Datengrab steht und der dann nicht physikalisch abgesichert ist.
Grüße,
Philip
vielen Dank für den Post. Da läuft es einem schon kalt den Rücken runter...
Noch trauriger: es reicht allein der phyisikalische Zugang zu einem (unverschlüsselten) DC mit Tastatur und etwa Windows Server DVD bzw. USB Stick. Hängt damit zusammen dass MS im Logon Screen nicht prüft ob der "OnScreen Tastatur Button" auch wirklich auf die korrekte osk.exe-Datei zeigt. Die osk.exe umbennen, etwa die cmd.exe kopieren und in osk.exe benennen, reboot, und schon hast du ne Kommandozeile mit SYSTEM-Rechten auf dem Logon Screen des DC.
Effekt? All your base are belong to us.
Betroffen sind Vista bis 2012 R2.
Problematisch gerade wenn in kleinen Filialen oder Aussenstellen einfach nur ein kleiner Server als DC, Druckerserver und vielleicht noch Datengrab steht und der dann nicht physikalisch abgesichert ist.
Grüße,
Philip
Das ist der Hammer. Das geht übrigens auch mit Utilman.exe auf allen Win7 Kisten. Einfach cmd.exe in utilman.exe unter system32 umbennenen und man hat vollen Zugriff auf das OS.
Eine Frage zu dem Link: Reicht es wirklich das krbtgt Passwort zu ändern um das Domain Admin acc wieder zu schützen?
"The only way to invalidate these golden tickets is to change the krbtgt user’s password on the domain controller."
Eine Frage zu dem Link: Reicht es wirklich das krbtgt Passwort zu ändern um das Domain Admin acc wieder zu schützen?
"The only way to invalidate these golden tickets is to change the krbtgt user’s password on the domain controller."
So wie ich das verstanden habe wird das Password des krbtgt user zur Verschlüssselung/Validierung der Kerberos Tickets verwendet. Durch das Ändern des Password werden damit alle Kerberos Tickets ungültig und die betroffenen Maschinen/Dienste müssen sich neu anmelden. Dazu wird dann das gültige Password benötigt...
Gruß
Andi
Gruß
Andi