Kerberos relay чрез DNS CNAME разширява атакуваемата повърхност в Active Directory
Дата: 19 януари 2026 г.
Категория: Identity сигурност / Active Directory / Техники за атака
Обзор
Изследователи по сигурността разкриха нова техника за Kerberos relay атаки, която използва DNS CNAME записи, за да заобиколи съществуващи защитни механизми в Active Directory среди.
Методът разширява възможностите за злоупотреба с удостоверяване, като използва начина, по който Windows изгражда Kerberos заявки след резолвиране на DNS алиаси.
Публикуван е proof of concept, който потвърждава практическа експлоатация.
Как работи техниката
Атаката се основава на стандартно поведение в Windows. При получаване на DNS CNAME отговор, клиентът следва алиаса и използва CNAME името като Service Principal Name (SPN) при заявка за Kerberos service ticket.
Атакуващ, който контролира DNS отговорите, може да принуди система да поиска Kerberos билет за услуга под негов контрол, без да се налага компрометиране на пароли.
Предпоставки за атака
За успешна експлоатация атакуващият трябва да има възможност да манипулира DNS трафик в локалната мрежа. Това обикновено се постига чрез:
ARP poisoning
DHCPv6 атаки чрез MITM6
Други on-path MITM техники
След това легитимните DNS заявки се подменят с CNAME записи към злонамерена инфраструктура.
Поток на експлоатация
При опит за достъп до легитимен ресурс:
Атакуващият връща DNS CNAME отговор
Клиентът използва алиаса и създава Kerberos TGS заявка с избран от атакуващия SPN
Връзката се установява към атакуващия сървър
HTTP 401 отговор принуждава Kerberos автентикация
Полученият билет се използва за relay или злоупотреба
Атаката позволява удостоверяване без кражба на идентификационни данни.
Въздействие и възможности
Потвърдените сценарии включват:
Kerberos relay с повишаване на привилегии
Cross-protocol атаки. HTTP към SMB или LDAP
Латерално придвижване в домейна
Имперсонация на потребители
Отдалечено изпълнение на код при експонирани AD CS услуги (ESC8)
Тестове показват, че стандартни конфигурации на Windows 10, Windows 11, Windows Server 2022 и Windows Server 2025 са уязвими при липса на задължителни защити.
Реакция на Microsoft и ограничения
Уязвимостта е отговорно докладвана на Microsoft през октомври 2025 г.
В актуализациите от януари 2026 г. е добавена поддръжка за Channel Binding Tokens (CBT) за HTTP.sys, проследявана като CVE-2026-20929.
Тази мярка ограничава HTTP relay атаките, но не премахва DNS CNAME механизма. Други Kerberos услуги остават изложени, ако подписването и binding защитите не са наложени.
Proof of Concept
Публикуван е модифициран вариант на MITM6 инструмент с поддръжка за DNS CNAME poisoning.
PoC демонстрира:
Целенасочено или масово CNAME подменяне
Интеграция с ARP атаки
Злоупотреба със стандартни Kerberos потоци
Изисква Linux среда и Python 3.x.
Защитни мерки
Изследването подчертава ключов факт. Kerberos сам по себе си не предотвратява relay атаки. Защитата зависи от конкретните услуги.
Ефективната защита включва:
Задължително SMB signing
LDAP signing и LDAPS с CBT
HTTPS с CBT за вътрешни уеб услуги
Втвърдяване на DNS инфраструктурата
Наблюдение за нетипични Kerberos TGS заявки
Детекция на cross-protocol автентикация
Само деактивирането на NTLM не е достатъчно.
Позицията на DIAMATIX
Тази техника показва познат модел. Когато една защита се затегне, атаките се преместват към граничните зони между протоколи.
DNS често остава извън полезрението на защитата. Съвременните identity атаки разчитат на принуда, а не на кражба на пароли.
Kerberos злоупотребите трябва да се разглеждат като оперативен проблем за откриване и наблюдение.
Kerberos relay чрез DNS CNAME показва как дългогодишни предположения в identity инфраструктурата продължават да бъдат използвани.
Устойчивата защита изисква последователно налагане на протоколни защити и постоянна видимост върху удостоверяването.
Trusted · Innovative · Vigilant
Източници
Независими изследвания за Kerberos relay и DNS CNAME злоупотреби
Публична информация за CVE-2026-20929
Microsoft Windows security updates. Януари 2026 г.
Анализи на Active Directory Certificate Services relay атаки
Open-source proof-of-concept и изследователски публикации
Получавайте актуални новини и експертни анализи за киберсигурност
