Comments 7
Классная статья, вы молодцы, да и ИБ компании тоже весьма и весьма неплоха и заботится о собственном развитии.
Увлекательно. Как детективный рассказ прочитал. )
Завидую. Есть много чего рассказать, даже можно рассказать кое-что по данному вопросу. Но времени вообще не бывает собраться с мыслями.
Шикарная статья!
Домен заказчика работал на версии 2012 года. Это ограничивало возможности PKINIT, например, мы не могли получить TGT билет Kerberos с помощью сертификата
Либо я чего-то не понял, либо это звучит как бред
Единственное различие между 2012 FFL и 2016 в контексте PKINIT это поддержка PKInit Freshness Extension
Объясните, что имели ввиду?
Верно и хотя PKInit Freshness Extension вроде как должно повышать защищенность протокола, в процессе аутентификации с его помощью есть особенности, которыми можно злоупотребить. Например, одна из них описана в этой работе https://www.cs.cmu.edu/~iliano/papers/asian06.pdf
Хмм, вы канешн меня извините, но статья, которую вы привели в качестве референса, датируется 2005 годом и описывает метод MiTM, где есть явное условие, что PKINIT должен работать в public-key encryption mode. Это уже давно пофиксили + на данный момент имплеметация PKINIT от MS в основном использует Diffie-Hellman mode, ибо perfect forward secrecy и всё такое
PKInit Freshness Extension же был разработан в 2017 году и там упор как раз на митигацию replay атак в Diffie-Hellman mode
Я всё еще не совсем понимаю, каким образом повышая FFL до 2016 левела и, используя PKInit Freshness Extension, мы, в итоге, делаем AD менее безопасной по сравнению с 2012 FFL
Так что за особенности такие, которыми можно злоупетребить, включив PKInit Freshness Extension? Можно какие-то сслыки на PoC, тулы и тд?
Красная команда, черный день: почему матерые пентестеры лажают в Red Team