近日，安全专家在Windows的Kerberos身份验证系统中发现了一个“极具破坏性”的漏洞。去年就曾曝出该系统中的一个相似漏洞，导致攻击者控制整个网络，包括安装程序和删除数据。

Kerberos协议

Kerberos 是一种网络认证协议，其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下， Kerberos 作为一种可信任的第三方认证服务，是通过传统的密码技术(如:共享密钥)执行认证服务的。

漏洞原理

通过对Kerberos的分析发现以下几点问题：

1、密钥来源于用户密码；2、密钥存储在内存中；3、使用RC4加密算法的密钥没有进行加盐处理，NTLM哈希值即为RC4密钥；4、KDC（密钥分配中心）使用的密钥来源于krbtgt用户密码，尽管该账户已被禁用，并且从未被使用；5、krbtgt用户密码很少更改（只有当域功能级别改变时才有可能会更改），且更改后的旧密码仍然可用；6、TGT票据使用krbtgt密钥进行加密，PAC数据使用krbtgt密钥进行进行签名，并且系统很少会验证PAC数据；7、Kerberos在用户登录20分钟后才会验证用户账户。

基于以上原因，攻击者可借助krbtgt密码绕过身份验证系统，获取管理员访问权限，进而执行一系列管理员操作（如创建用户，下载文件等），还可以根据密码为用户创建响应的密钥。

缓解

据悉，该漏洞不能修复，因为这些都只是Kerberos的工作方式，唯一的解决方法是使用微软的Credential Guard程序阻止证书存储在内存中。为了防止Windows由于Kerberos遭到攻击，用户需要随时关注并保护特权帐户，因为其中很可能存在攻击者创建的账户。