伪造域控
2022年1月10日,国外安全研究员Kaido发文称发现了一种新的伪造域控方式,安全研究员只需要新建一个机器账户,然后修改机器账户的UserAccountControl属性为8192。活动目录就会认为这个机器账户就是域控,然后就可以使用这个新建的机器账户进行DCSync操作了。由于修改机器账户的UserAccountControl属性需要域内高权限,因此这种方式可以用来进行域权限维持。
这种权限维持方式与DCShadow类似,都是在域内伪造域控。只不过DCShadow是通过往域内添加恶意对象,而此种方式是通过DSCync功能导出域内任意用户的Hash。
漏洞原理
为什么把机器账户的UserAccountControl属性修改为8192,活动目录就会认为这个机器账户是域控呢?首先,我们来看一下UserAccountControl属性。通过官方文档可以清楚的看到UserAccountControl属性可能得值,如图所示:
当该值为8192时,对应的SERVER_TRUST_ACCOUNT属性标志对应的含义,如图所示,可以看到微软对该属性标志位的解释是作为域中的一个成员域控的计算机账户。
因此,把机器账户的UserAccountControl属性修改为8192后,活动目录就会认为这个机器账户是域控