I ticket Kerberos verificano le identità di utenti e server. Ma gli hacker stanno anche sfruttando questo sistema per scoprire informazioni sensibili su di te.
I ticket Kerberos rendono Internet più sicuro fornendo ai computer e ai server di una rete un mezzo per trasferire i dati senza dover verificare la propria identità a ogni passaggio. Tuttavia, questo ruolo di autenticatore una tantum, anche se temporaneo, rende i ticket Kerberos attraenti per gli aggressori che possono violarne la crittografia.
Cosa sono i ticket Kerberos?
Se pensi che "Kerberos" suoni familiare, hai ragione. È il nome greco del cane di Ade (altrimenti noto come "Cerberus"). Ma Kerberos non è un cagnolino; ha diverse teste e custodisce le porte degli inferi. Kerberos impedisce ai morti di andarsene e impedisce ai personaggi sconvolti di far uscire i loro cari dal cupo aldilà. In questo modo, puoi pensare al cane come a un autenticatore che impedisce l'accesso non autorizzato.
Kerberos è un protocollo di autenticazione di rete che utilizza chiavi crittografiche per verificare le comunicazioni tra client (personal computer) e server su reti di computer. Kerberos è stato creato dal Massachusetts Institute of Technology (MIT) come un modo per consentire ai client di dimostrare la propria identità ai server quando effettuano richieste di dati. Allo stesso modo, i server utilizzano i ticket Kerberos per dimostrare che i dati inviati sono autentici, dalla fonte prevista e non sono stati danneggiati.
I ticket Kerberos sono fondamentalmente certificati rilasciati ai client da una terza parte attendibile (chiamata centro di distribuzione delle chiavi, in breve KDC). I client presentano questo certificato, insieme a una chiave di sessione univoca, a un server quando avvia una richiesta di dati. La presentazione e l'autenticazione del ticket stabilisce la fiducia tra il client e il server, quindi non è necessario verificare ogni singola richiesta o comando.
Come funzionano i ticket Kerberos?
I ticket Kerberos autenticano l'accesso degli utenti ai servizi. Aiutano anche i server a compartimentare l'accesso nei casi in cui più utenti accedono allo stesso servizio. In questo modo, le richieste non si perdono l'una nell'altra e le persone non autorizzate non possono accedere ai dati riservati agli utenti privilegiati.
Per esempio, Microsoft utilizza Kerberos protocollo di autenticazione quando gli utenti accedono ai server Windows o ai sistemi operativi dei PC. Pertanto, quando accedi al tuo computer dopo un avvio, il sistema operativo utilizza i ticket Kerberos per autenticare l'impronta digitale o la password.
Il tuo computer archivia temporaneamente il ticket nella memoria del processo LSASS (Local Security Authority Subsystem Service) per quella sessione. Da lì in poi, il sistema operativo utilizza il ticket memorizzato nella cache per autenticazioni single sign-on, quindi non devi fornire i tuoi dati biometrici o la password ogni volta che devi fare qualcosa che richiede privilegi amministrativi.
Su scala più ampia, i ticket Kerberos vengono utilizzati per salvaguardare le comunicazioni di rete su Internet. Ciò include cose come la crittografia HTTPS e la verifica della password del nome utente all'accesso. Senza Kerberos, le comunicazioni di rete sarebbero vulnerabili ad attacchi come falsificazione di richieste tra siti (CSRF) e hack man-in-the-middle.
Cos'è esattamente Kerberoasting?
Kerberoasting è un metodo di attacco in cui i criminali informatici rubano i ticket Kerberos dai server e cercano di estrarre gli hash delle password in chiaro. Fondamentalmente, questo attacco è ingegneria sociale, furto di credenzialie attacco di forza bruta, tutto in uno. Il primo e il secondo passaggio prevedono che l'attaccante impersoni un client e richieda i ticket Kerberos da un server.
Naturalmente, il biglietto è crittografato. Tuttavia, ottenere il biglietto risolve una delle due sfide per l'hacker. Una volta ottenuto il ticket Kerberos dal server, la sfida successiva è decodificarlo con ogni mezzo necessario. Gli hacker in possesso di ticket Kerberos faranno di tutto per decifrare questo file a causa del suo valore.
Come funzionano gli attacchi Kerberoasting?
Kerberoasting sfrutta due errori di sicurezza comuni nelle directory attive: l'utilizzo di password brevi e deboli e la protezione dei file con crittografia debole. L'attacco inizia con un hacker che utilizza un account utente per richiedere un ticket Kerberos da un KDC.
Il KDC emette quindi un ticket crittografato come previsto. Invece di utilizzare questo ticket per l'autenticazione con un server, l'hacker lo porta offline e tenta di decifrare il ticket con tecniche di forza bruta. Gli strumenti utilizzati per farlo sono gratuiti e open-source, come mimikatz, Hashcat e JohnTheRipper. L'attacco può anche essere automatizzato con strumenti come invoke-kerberoast e Rubeus.
Un attacco kerberoasting riuscito estrarrà le password in chiaro dal ticket. L'attaccante può quindi utilizzarlo per autenticare le richieste a un server da un account utente compromesso. Peggio ancora, l'attaccante può sfruttare il nuovo accesso non autorizzato per rubare dati, spostati lateralmente nella directory attivae impostare account fittizi con privilegi di amministratore.
Dovresti essere preoccupato per Kerberoasting?
Kerberoasting è un attacco popolare alle directory attive e dovresti preoccupartene se sei un amministratore di dominio o un operatore di blue team. Non esiste una configurazione di dominio predefinita per rilevare questo attacco. La maggior parte avviene offline. Se sei stato vittima di questo, molto probabilmente lo saprai dopo il fatto.
Puoi ridurre la tua esposizione assicurandoti che tutti sulla tua rete utilizzino password lunghe composte da caratteri e simboli alfanumerici casuali. Inoltre, dovresti utilizzare la crittografia avanzata e impostare avvisi per richieste insolite da parte degli utenti del dominio. Dovrai anche proteggerti dall'ingegneria sociale per prevenire violazioni della sicurezza che avviano Kerberoating in primo luogo.
