KrbRelayUp, l'attacco permette di acquisire privilegi SYSTEM sui sistemi Windows collegati a un dominio

A fine aprile 2022 il ricercatore Mor Davidovich ha individuato un metodo per acquisire privilegi SYSTEM su qualunque sistema Windows collegato a un dominio.
Davidovich ha spiegato di aver “assemblato” il codice proveniente da diversi tool preesistenti per sviluppare un’applicazione (KrbRelayUp), pubblicata su GitHub, che conente a un utente di acquistare privilegi che non gli competono.
In un altro articolo abbiamo visto le differenze tra i privilegi SYSTEM e i diritti di amministratore in Windows.

L’aspetto più rilevante della ricerca condotta da Davidovich è che l’acquisizione dei privilegi SYSTEM sui sistemi utilizzati in ambito aziendale funziona anche con la configurazione predefinita del dominio. L’esperto in un primo tempo ha fatto presente che l’attacco KrbRelayUp non andava in porto nel caso in cui l’amministratore di sistema avesse attivato la firma LDAP su Windows Server.
Lunedì scorso Davidovich ha rilasciato una nuova versione del suo tool KrbRelayUp che porta all’ottenimento dei privilegi più elevati anche con firma LDAP abilitata.

Pur confermando l’esistenza della problematica, Microsoft si è affrettata a precisare che l’attacco in questione non interessa i clienti che usano istanze di Azure Active Directory.
KrbRelayUp può comunque aiutare eventuali aggressori a compromettere macchine virtuali Azure in ambienti Active Directory ibridi in cui i controller di dominio sono sincronizzati con Azure Active Directory.

In una pagina di supporto appena pubblicata, Microsoft ha condiviso le metodologie per proteggersi dall’attacco KrbRelayUp.
In generale, i tecnici dell’azienda di Redmond suggeriscono di attivare la firma LDAP, Extended Protection for Authentication (EPA) e impostare a 0 l’attributo MS-DS-Machine-Account-Quota.

Una dimostrazione dell’attacco è stata pubblicata in questo post su Twitter.