Kerberos這一名詞來源于希臘神話“三個頭的狗——冥府守門狗”,在系統(tǒng)中是一種認(rèn)證協(xié)議,使用ticket讓節(jié)點(diǎn)在不安全的網(wǎng)絡(luò)環(huán)境下進(jìn)行安全的通信,它能夠防止竊聽、防止replay攻擊、保護(hù)數(shù)據(jù)完整性。黑客可以利用漏洞提升自己的網(wǎng)絡(luò)權(quán)限,還可以獲取內(nèi)網(wǎng)資源,比如竊取密碼。
三名研究員發(fā)現(xiàn)了這一漏洞,他們把它命名為“奧菲斯的豎琴”,因?yàn)樗脑眍愃葡ED詩人奧菲斯用豎琴催眠守門狗的過程。
研究人員還發(fā)現(xiàn),這個漏洞影響的Kerberos版本可以追溯到1996年,由于年代久遠(yuǎn),Kerberos有其他的實(shí)現(xiàn)。這次的漏洞影響到了3種實(shí)現(xiàn)中的2種——Heimdal Kerberos和微軟Kerberos。MIT的Kerberos實(shí)現(xiàn)則不受影響。
“奧菲斯豎琴”繞過Kerberos認(rèn)證
漏洞影響的是Kerberos v5,利用了Kerberos協(xié)議中的ticket。ticket是網(wǎng)絡(luò)節(jié)點(diǎn)間傳輸?shù)南ⅲ脕碚J(rèn)證服務(wù)和用戶。
發(fā)送到網(wǎng)絡(luò)時,并非ticket的所有部分都會被加密,通常Kerberos會檢查消息中的加密部分從而進(jìn)行認(rèn)證。
而研究人員發(fā)現(xiàn)了一種方法強(qiáng)制讓Kerberos協(xié)議使用純文本和未經(jīng)加密的部分進(jìn)行認(rèn)證。
“_krb5_extract_ticket()中的KDC-REP服務(wù)名必須來自’enc_part’中的加密信息,而非’ticket’中存儲的未加密的信息。使用了未加密的信息就會讓黑客對服務(wù)器進(jìn)行欺騙或者進(jìn)行其他的攻擊。”Heimdal的開發(fā)者稱。
如果黑客已經(jīng)攻陷了公司網(wǎng)絡(luò)或者有能力進(jìn)行中間人攻擊,他就可以截獲并且修改純文本ticket部分,從而繞過Kerberos驗(yàn)證,進(jìn)而獲取到公司的內(nèi)部資源。漏洞目前還沒有被利用的案例,并且黑客需要提前獲得內(nèi)網(wǎng)中的部分資源,盡管如此,這個漏洞仍然十分危險(xiǎn),因?yàn)楣粽呖梢越璐藬U(kuò)大在內(nèi)網(wǎng)中的權(quán)限。
Windows、Debian、FreeBSD、Samba均已修復(fù)
研究員聯(lián)系了使用Kerberos協(xié)議的各個項(xiàng)目。微軟在上周二的補(bǔ)丁推送中已經(jīng)修復(fù)了其Kerberos中的漏洞(CVE-2017-8495)。
Debian、FreeBSD和Samba這三個項(xiàng)目使用到了Heimdal Kerberos,也已經(jīng)發(fā)布了補(bǔ)丁,編號CVE-2017-11103。而Red Hat使用了MIT Kerberos,因此RHEL用戶不受影響。
有趣的是,不同廠商對這款漏洞的評級也是不同的,研究人員、Samba和Heimdal都把漏洞評級為“嚴(yán)重(Critical)”,微軟和Linux廠商則評為“重要(important)”或者“中危(medium)”。
發(fā)現(xiàn)漏洞的研究員分別是AuriStor創(chuàng)始人Jeffrey Altman、和來自Two Sigma Investments公司的Viktor Dukhovni和Nicolas Williams。
Altman解釋說,移除掉未加密字段強(qiáng)迫認(rèn)證請求使用加密部分,這個漏洞就無效了。
為了讓用戶有更多時間進(jìn)行更新修復(fù),研究團(tuán)隊(duì)沒有發(fā)布深入的技術(shù)細(xì)節(jié)。之后幾天Orpheus’ Lyre網(wǎng)站會發(fā)布更多細(xì)節(jié)。
“要注意漏洞是客戶端漏洞,客戶端需要進(jìn)行修復(fù),”研究人員說,“對服務(wù)器端打補(bǔ)丁是沒用的。”
| 
