Active Directory（活動(dòng)目錄）站點(diǎn)原本設(shè)計(jì)用于通過(guò)管理跨地域的復(fù)制和認(rèn)證流程，優(yōu)化跨國(guó)企業(yè)的網(wǎng)絡(luò)性能。但Synacktiv安全研究團(tuán)隊(duì)證實(shí)，這些看似安全的網(wǎng)絡(luò)管理工具可被武器化，對(duì)企業(yè)環(huán)境發(fā)動(dòng)高危害攻擊。

漏洞成因在于Active Directory站點(diǎn)可與組策略對(duì)象（GPO）關(guān)聯(lián)，而GPO控制著整個(gè)組織的系統(tǒng)配置。當(dāng)攻擊者獲取站點(diǎn)或其關(guān)聯(lián)GPO的寫(xiě)入權(quán)限后，就能注入惡意配置，進(jìn)而控制連接該站點(diǎn)的所有計(jì)算機(jī)（包括域控制器）。這種攻擊方式可直接導(dǎo)致全域淪陷，且能規(guī)避常規(guī)安全防御機(jī)制。

權(quán)限提升攻擊原理

攻擊者主要利用三種權(quán)限類(lèi)型實(shí)施攻擊：站點(diǎn)對(duì)象上的GenericAll、GenericWrite和WriteGPLink權(quán)限。這些權(quán)限常被管理員在不完全理解其風(fēng)險(xiǎn)的情況下委派。

一旦控制這些權(quán)限，攻擊者既可毒化現(xiàn)有GPO，也能創(chuàng)建執(zhí)行任意命令的惡意GPO。這些命令可將攻擊者控制的賬戶加入管理員組，使其在數(shù)分鐘內(nèi)獲得域管理員權(quán)限。

通過(guò)鏈接GPO利用向量發(fā)起的攻擊路徑

跨域橫向移動(dòng)威脅

最危險(xiǎn)之處在于Active Directory站點(diǎn)能實(shí)現(xiàn)跨林橫向移動(dòng)。包含站點(diǎn)信息的配置分區(qū)會(huì)在整個(gè)林范圍內(nèi)復(fù)制，這意味著被攻陷的域控制器可修改影響其他域的站點(diǎn)配置。

通過(guò)Active Directory圖形界面委派組策略鏈接管理

該技術(shù)能繞過(guò)傳統(tǒng)的SID過(guò)濾保護(hù)機(jī)制（通常用于阻止跨域攻擊）。Synacktiv研究人員證實(shí)，子域攻擊者只需將惡意GPO鏈接到承載根域控制器的站點(diǎn)，即可攻陷整個(gè)林根域。

該攻擊向量暴露出多數(shù)企業(yè)安全策略的重大盲區(qū)，管理大型Active Directory環(huán)境的防御團(tuán)隊(duì)需立即予以重視。