ภัยคุกคามใหม่! CVE-2026-20929 ใช้ DNS CNAME โจมตี Kerberos Relay

ช่องโหว่ร้ายแรง CVE-2026-20929 ที่มีคะแนน CVSS 7.5 ช่วยให้ผู้โจมตีสามารถใช้ประโยชน์จากการรีเลย์การยืนยันตัวตน Kerberos ผ่านการจัดการระเบียน DNS CNAME ได้ โดยบล็อกนี้มุ่งเน้นไปที่การตรวจจับเวกเตอร์การโจมตีหนึ่งที่ส่งผลกระทบอย่างมาก นั่นคือการรีเลย์การยืนยันตัวตนไปยัง Active Directory Certificate Services เพื่อขอรับใบรับรองสำหรับบัญชีผู้ใช้

CrowdStrike ได้พัฒนาการตรวจจับแบบสหสัมพันธ์ที่ระบุรูปแบบการโจมตีนี้โดยการตรวจสอบการยืนยันตัวตนด้วยใบรับรองที่ผิดปกติร่วมกับการเข้าถึงบริการ AD CS ที่ไม่ปกติภายในช่วงเวลาสั้นๆ

ความเข้าใจเกี่ยวกับช่องโหว่และเทคนิคที่เกี่ยวข้อง

CVE-2026-20929 เป็นเวกเตอร์การโจมตีที่ซับซ้อนซึ่งใช้ประโยชน์จากปฏิสัมพันธ์ระหว่างระเบียน DNS CNAME และการแก้ไข Kerberos Service Principal Name

ก่อนจะเจาะลึกถึงตัวช่องโหว่ Kerberos นี้ สิ่งสำคัญคือต้องเข้าใจการโจมตีพื้นฐานที่เรียกว่า ESC8 ซึ่ง AD CS มีส่วนติดต่อการลงทะเบียนบนเว็บที่ยอมรับทั้งการยืนยันตัวตน NTLM และ Kerberos การโจมตี ESC8 ใช้ประโยชน์จากส่วนติดต่อนี้ผ่าน NTLM relay

ส่วน CVE-2026-20929 นั้นใช้ Kerberos relay แทน NTLM โดยใช้ประโยชน์จากการจัดการ SPN แบบ CNAME เพื่อควบคุมว่าไคลเอนต์จะขอตั๋วบริการสำหรับเซิร์ฟเวอร์ใด ทำให้สามารถรีเลย์ได้แม้ในสภาพแวดล้อมที่ปิดใช้งาน NTLM แล้ว

กลไกการโจมตีและขั้นตอนการทำงาน

CVE-2026-20929 ใช้ประโยชน์จากวิธีที่ Kerberos จัดการกับ Service Principal Names ในระหว่างกระบวนการแก้ไข DNS ที่เกิดขึ้นก่อนการยืนยันตัวตน

ก่อนที่ไคลเอนต์จะยืนยันตัวตนไปยังบริการได้ ไคลเอนต์ต้องแก้ไขชื่อโฮสต์ของบริการเป็นที่อยู่ IP ผ่าน DNS ผู้โจมตีสามารถจัดการขั้นตอนการแก้ไขนี้ได้โดยสร้างการตอบสนอง DNS ที่มีทั้งระเบียน CNAME ที่เปลี่ยนเส้นทางชื่อโฮสต์ที่ร้องขอไปยังเป้าหมายอื่น และระเบียน A ในคำตอบเดียวกันที่ให้ที่อยู่ IP สำหรับเป้าหมายนั้น

การตอบสนอง DNS ที่รวมกันนี้ทำให้ไคลเอนต์ขอตั๋วบริการ Kerberos สำหรับชื่อโฮสต์ที่ผู้โจมตีระบุโดยอัตโนมัติ ในขณะที่เชื่อมต่อกับที่อยู่ IP ที่ผู้โจมตีควบคุม ไคลเอนต์ไม่ทราบว่า SPN ในตั๋ว Kerberos ของตนไม่ตรงกับบริการจริงที่กำลังเชื่อมต่ออยู่

แนวทางการตรวจจับของ CrowdStrike

CrowdStrike Falcon® Next-Gen Identity Security ให้ความสามารถในการมองเห็นการรับส่งข้อมูลการยืนยันตัวตนอย่างลึกซึ้งทั่วทั้งองค์กร แพลตฟอร์มนี้ทำการตรวจสอบโปรโตคอลการยืนยันตัวตนแบบเรียลไทม์ รวมถึงการรับส่งข้อมูล Kerberos, NTLM และ LDAP

การตรวจจับนี้ใช้สหสัมพันธ์เชิงพฤติกรรมเพื่อระบุสายโซ่การโจมตีที่สมบูรณ์ แทนที่จะพึ่งพาตัวบ่งชี้แต่ละอย่าง วิธีการนี้ให้การตรวจจับที่มีความเชื่อมั่นสูง ในขณะที่ลดผลบวกลวงโดยมุ่งเน้นไปที่ความสัมพันธ์ด้านเวลาระหว่างการรีเลย์การยืนยันตัวตนและการใช้ใบรับรอง

การตรวจจับประกอบด้วยสองส่วนหลัก

การตรวจจับ 1 การยืนยันตัวตนด้วยใบรับรองที่ผิดปกติ ตรวจจับรูปแบบที่ผิดปกติในการยืนยันตัวตนด้วยใบรับรอง เช่น ผู้ใช้ยืนยันตัวตนด้วยใบรับรองจากเอนด์พอยต์หรือที่อยู่ IP ที่พวกเขาไม่เคยใช้สำหรับการยืนยันตัวตนด้วยใบรับรองมาก่อน

การตรวจจับ 2 การเข้าถึงบริการที่ผิดปกติไปยังเอนด์พอยต์ ตรวจสอบรูปแบบการเข้าถึงบริการที่ผิดปกติ เช่น ผู้ใช้ขอตั๋วบริการ Kerberos ไปยังเป้าหมายโดยไม่คาดคิด

กลยุทธ์การป้องกันและสรุป

แพลตฟอร์ม Falcon ให้ความสามารถในการป้องกันที่ครอบคลุมซึ่งจัดการกับกลยุทธ์การบรรเทาผลกระทบเหล่านี้โดยตรง CrowdStrike Falcon® Exposure Management ให้การมองเห็นที่สำคัญสำหรับการจัดการแพตช์ ช่วยให้องค์กรระบุระบบที่เสี่ยงต่อภัยได้อย่างรวดเร็วและจัดลำดับความสำคัญของความพยายามในการแก้ไขตามการเปิดเผยความเสี่ยงจริง

Falcon Next-Gen Identity Security ให้ข้อมูลเชิงลึกเกี่ยวกับการกำหนดค่าสภาพแวดล้อม Active Directory ตรวจสอบและประเมินสถานะความปลอดภัยของ AD อย่างต่อเนื่อง และให้การตรวจจับหลายรายการที่สามารถระบุรูปแบบการยืนยันตัวตนที่น่าสงสัยและความพยายามโจมตีแบบรีเลย์ที่อาจเกิดขึ้นได้แบบเรียลไทม์

CVE-2026-20929 เป็นภัยคุกคามที่สำคัญต่อองค์กรโดยเปิดโอกาสให้ผู้โจมตีรีเลย์การยืนยันตัวตน Kerberos ผ่านการละเมิด DNS CNAME เวกเตอร์การรีเลย์ AD CS นั้นอันตรายเป็นพิเศษ เนื่องจากช่วยให้ผู้โจมตีได้รับการเข้าถึงอย่างต่อเนื่องผ่านการยืนยันตัวตนด้วยใบรับรอง ซึ่งเป็นการเลี่ยงการควบคุมความปลอดภัยแบบใช้รหัสผ่านแบบดั้งเดิม

Reference

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th