Kerberoasting
Kerberoasting est une technique d'attaque sophistiquée qui exploite le protocole d'authentification Kerberos pour craquer les mots de passe des comptes de service au sein des réseaux Windows. En ciblant les comptes de service dont les mots de passe sont faibles ou faciles à deviner, les attaquants peuvent demander des tickets TGS (Ticket Granting Service) et les craquer hors ligne pour révéler les mots de passe en clair.
- Ces dernières années, le kerberoasting a été identifié comme une technique utilisée dans plus de 20 % des tests de pénétration des réseaux, ce qui indique sa popularité parmi les attaquants. (Source : Sans Institute)
- Le temps moyen pour craquer un mot de passe kerberoasté est considérablement réduit grâce à l'utilisation de puissants réseaux de GPU, ce qui souligne la nécessité de mettre en place des politiques de mots de passe solides. (Source : Hashcat)
Comment fonctionne Kerberos ?
Le processus d'authentification Kerberos comprend une série d'étapes visant à vérifier l'identité des utilisateurs ou des services demandant l'accès à un réseau. Il comprend les demandes de tickets, la validation et l'échange sécurisé de clés pour garantir l'intégrité de la communication.
Kerberos distribue les clés par l'intermédiaire d'une entité tierce de confiance appelée Centre de distribution de clés (KDC). Le KDC partage en toute sécurité les clés de session entre le client et le serveur, empêchant ainsi les entités non autorisées d'y accéder.
Attaques au ticket d'or
Un ticket d'or Kerberos est un artefact puissant et potentiellement malveillant qui peut être généré en exploitant les vulnérabilités du système d'authentification Kerberos. Dans le contexte de la cybersécurité, un Golden Ticket fait référence à un faux Ticket Granting Ticket (TGT) qui accorde à un attaquant un accès illimité et à long terme à un réseau.
À l'aide d'un ticket d'octroi de ticket falsifié (TGT / Golden ticket) ou d'un compte compromis, l'attaquant peut demander l'accès à un service (SPN) sur le réseau. Ce service est associé à un compte de service à haut privilège, par exemple un compte de service SQL. Le centre de distribution de clés (KDC) émet un ticket de service, qui est crypté avec la clé publique du mot de passe du compte de service. L'attaquant peut alors convertir ce ticket de service en un hachage qui peut être exporté vers Hashcat ou John The Ripper, puis procéder au craquage du mot de passe hors ligne. Cette attaque repose sur une mauvaise hygiène des mots de passe pour les comptes de service, la réutilisation des mots de passe entre les comptes de service, la non expiration des mots de passe pour les comptes de service, et même la non suppression des anciennes entrées SPN dans Active Directory.
Chasse aux Kerberoasting
Pour rechercher des preuves potentielles de Kerberoasting sur votre réseau, un bon point de départ est le tableau de bord Kerberoasting de Vectra Recall. Ce tableau de bord surveille les réponses aux tickets avec des algorithmes de chiffrement faibles (RC4) qui peuvent être craqués hors ligne. En règle générale, l'utilisation de codes faibles devrait être minime dans votre environnement, comme dans tout exemple ici, il est possible que votre environnement ait un grand nombre de requêtes Kerberos RC4, ce qui rendrait ce tableau de bord moins efficace.
Lorsque vous regardez ce tableau de bord, vous verrez un graphique supérieur qui montre tous les utilisateurs du cryptage RC4 faible. Ce graphique devrait être vide, car personne dans votre organisation n'utilise ce cryptage faible, mais il peut aussi ressembler à ceci. On peut affirmer sans risque que ces transactions Kerberos proviennent toutes d'affaires légitimes, vous devriez donc chercher à masquer ces instances du tableau en cliquant sur l'icône "-" à côté de chaque IP dans la légende.
Après avoir masqué les serveurs les plus fréquents, vous devriez obtenir un graphique comme celui ci-dessous, avec une valeur aberrante qui mérite d'être étudiée.
Cliquez sur l'IP de ce serveur et cliquez sur l'icône "+" pour vous concentrer uniquement sur ce serveur. En bas de ce tableau de bord, vous pourrez voir rapidement les clients qui font des requêtes à ce serveur, et si un seul client a fait un grand nombre de requêtes, vous devriez vous tourner vers d'autres sources de métadonnées telles que LDAP et RPC pour déterminer si d'autres activités suspectes se sont produites au cours de la période donnée.
Plus d'informations sur nos détections liées à Kerberoasting:
La protection de votre réseau contre le kerberoasting nécessite une combinaison de politiques de mots de passe solides, une surveillance vigilante et une formation continue. Vectra AI fournit des solutions de sécurité avancées qui peuvent aider à détecter des activités suspectes indiquant le kerberoasting et d'autres techniques de vol d'informations d'identification. Contactez-nous pour renforcer vos défenses et garantir l'intégrité de vos protocoles d'authentification et de vos comptes de service.