Rubeus

<p>권한이 없는 Kerberos 위임을 확인하고 권한 있는 사용자를 이러한 위임으로부터 보호합니다.</p>


<p>Active Directory 보안의 핵심인 Kerberos 프로토콜은 일부 서버가 사용자 자격 증명을 재사용하도록 허용합니다. 공격자가 이런 서버 중 하나를 손상하면 자격 증명을 탈취하여 다른 리소스를 인증하는 데 사용할 수 있습니다.</p>


지속성

권한 상승

위험한 Kerberos 위임

개체에 사용자가 msDS-AllowedToActOnBehalfOfOtherIdentity 특성 또는 Account Restrictions 속성 집합에 쓸 수 있도록 승인하는 위험한 ACE가 있습니다. 공격자가 이 구성 오류를 사용하여 이 서비스에서 사용자를 가장할 수 있습니다.

RBCD 제어 허용됨

보안 주체가 권한 있는 서비스 계정의 msDS-AllowedToActOnBehalfOfOtherIdentity 특성(역할 기반의 제한된 위임, RBCD)에 설정되었습니다. 공격자는 이 백도어를 사용하여 임의의 계정을 가장하고 서비스 계정의 컨텍스트에서 실행되는 서비스에 대한 권한 있는 액세스를 얻을 수 있습니다.

RBCD 백도어

Microsoft Entra Seamless SSO 컴퓨터 계정에서 일부 유형의 Kerberos 위임이 구성되어 있어 문제가 발생할 수 있으며 이러한 구성은 좋지 않은 사례로 간주합니다.

Microsoft Entra SSO 계정에 구성된 Kerberos 위임

권한 있는 계정을 보호해야 합니다. 그러지 않으면 공격자가 자격 증명을 탈취할 수 있습니다.

위임에 대한 보호 없음

공격자가 이 구성 오류를 사용하여 다른 사용자를 가장할 수 있습니다.

제한되지 않은 위임

공격자가 Kerberos 티켓을 탈취하여 다른 리소스에서 인증할 수 있습니다.

공격자가 관리자의 Kerberos 티켓을 탈취하여 권한 있는 리소스에서 인증할 수 있습니다.

탐지

위험한 Kerberos 위임

critical

설명

솔루션

참고 항목

지표 세부 정보

공격자가 알려진 도구