这种漏洞允许攻击者伪造一个带有高权限的 TGT(即,票据中的 PAC 被修改,声称该用户是特权组的成员)。
这种攻击类似于 黄金票据 (Golden Ticket) 攻击,但它 不需要攻击者知道 krbtgt 账户的哈希值。
这是一种非常强大的权限提升技术,但它依赖于一个 2014年的漏洞,因此 无法在已打补丁的域控制器上工作。
之所以会出现这个漏洞,是因为 PAC 签名验证存在错误。这使得攻击者可以制作一个授予用户强大权限的 PAC,而这个 PAC 在密钥分发中心 (KDC) 看来仍然是合法的。
与微软文档中声称的相反,KDC 接受的签名类型不止三种:在 MS14-068 补丁 之前,只要一个签名的长度小于等于20字节,KdcVerifyPacSignature 函数就会认为它是有效的。因此,攻击者可以使用非密钥哈希算法(例如 MD5)来签名 PAC,并使该 PAC 被认为是有效的。