Le processus d'authentification Kerberos comprend une série d'étapes visant à vérifier l'identité des utilisateurs ou des services demandant l'accès à un réseau. Il comprend les demandes de tickets, la validation et l'échange sécurisé de clés pour garantir l'intégrité de la communication.
Kerberos distribue les clés par l'intermédiaire d'une entité tierce de confiance appelée Centre de distribution de clés (KDC). Le KDC partage en toute sécurité les clés de session entre le client et le serveur, empêchant ainsi les entités non autorisées d'y accéder.
Un ticket d'or Kerberos est un artefact puissant et potentiellement malveillant qui peut être généré en exploitant les vulnérabilités du système d'authentification Kerberos. Dans le contexte de la cybersécurité, un Golden Ticket fait référence à un faux Ticket Granting Ticket (TGT) qui accorde à un attaquant un accès illimité et à long terme à un réseau.
À l'aide d'un ticket d'octroi de ticket falsifié (TGT / Golden ticket) ou d'un compte compromis, l'attaquant peut demander l'accès à un service (SPN) sur le réseau. Ce service est associé à un compte de service à haut privilège, par exemple un compte de service SQL. Le centre de distribution de clés (KDC) émet un ticket de service, qui est crypté avec la clé publique du mot de passe du compte de service. L'attaquant peut alors convertir ce ticket de service en un hachage qui peut être exporté vers Hashcat ou John The Ripper, puis procéder au craquage du mot de passe hors ligne. Cette attaque repose sur une mauvaise hygiène des mots de passe pour les comptes de service, la réutilisation des mots de passe entre les comptes de service, la non expiration des mots de passe pour les comptes de service, et même la non suppression des anciennes entrées SPN dans Active Directory.
Pour rechercher des preuves potentielles de Kerberoasting sur votre réseau, un bon point de départ est le tableau de bord Kerberoasting de Vectra Recall. Ce tableau de bord surveille les réponses aux tickets avec des algorithmes de chiffrement faibles (RC4) qui peuvent être craqués hors ligne. En règle générale, l'utilisation de codes faibles devrait être minime dans votre environnement, comme dans tout exemple ici, il est possible que votre environnement ait un grand nombre de requêtes Kerberos RC4, ce qui rendrait ce tableau de bord moins efficace.
Lorsque vous regardez ce tableau de bord, vous verrez un graphique supérieur qui montre tous les utilisateurs du cryptage RC4 faible, ce graphique devrait être vide, car personne dans votre organisation n'utilise ce cryptage faible, mais il peut aussi ressembler à ceci. On peut affirmer sans risque que ces transactions Kerberos proviennent toutes d'affaires légitimes, vous devriez donc chercher à masquer ces instances du tableau en cliquant sur l'icône "-" à côté de chaque IP dans la légende.
Après avoir masqué les serveurs les plus fréquents, vous devriez obtenir un graphique comme celui présenté ci-dessous, avec une valeur aberrante qui mérite d'être étudiée.
Cliquez sur l'IP de ce serveur et cliquez sur l'icône "+" pour vous concentrer uniquement sur ce serveur. En bas de ce tableau de bord, vous pourrez rapidement voir les clients qui font des requêtes à ce serveur, et si un seul client a fait un grand nombre de requêtes, vous devriez vous tourner vers d'autres sources de métadonnées telles que LDAP et RPC pour déterminer si une autre activité suspecte s'est produite dans le laps de temps donné.
Plus d'informations sur nos détections liées au Kerberoasting:
La protection de votre réseau contre le kerberoasting nécessite une combinaison de politiques de mots de passe solides, une surveillance vigilante et une formation continue. Vectra AI fournit des solutions de sécurité avancées qui peuvent aider à détecter des activités suspectes indiquant le kerberoasting et d'autres techniques de vol d'informations d'identification. Contactez-nous pour renforcer vos défenses et garantir l'intégrité de vos protocoles d'authentification et de vos comptes de service.
Le protocole d'authentification Kerberos est un système d'authentification réseau qui utilise la cryptographie à clé secrète pour permettre aux nœuds communiquant sur un réseau non sécurisé de prouver leur identité les uns aux autres de manière sécurisée. Il est largement utilisé dans les environnements Windows Active Directory.
Une attaque par kerberoasting implique qu'un attaquant accède d'abord au réseau en tant qu'utilisateur normal. Il énumère ensuite les comptes de service dans l'Active Directory qui sont enregistrés avec des SPN (Service Principal Names). L'attaquant demande des tickets TGS pour ces comptes, qui sont cryptés à l'aide du mot de passe du compte. Ces tickets peuvent ensuite être déchiffrés hors ligne pour découvrir le mot de passe en clair du compte.
Une attaque réussie par kerberoasting peut conduire à un accès non autorisé à des zones sensibles du réseau, à des violations de données, à des déplacements latéraux au sein du réseau et à une escalade des privilèges, en fonction du niveau d'accès que possède le compte de service compromis.
Les organisations peuvent détecter une activité de kerberoasting en surveillant un volume inhabituel de demandes TGS pour des comptes de service, en particulier celles effectuées par des utilisateurs non administratifs, ou en identifiant des schémas anormaux dans le trafic du réseau qui indiquent des demandes de tickets en masse.
Les stratégies préventives comprennent Mettre en place des mots de passe forts et complexes pour les comptes de service et les changer régulièrement. Limiter le nombre de comptes de service dont les SPN (Service Principal Names) sont enregistrés. Utiliser des politiques de verrouillage des comptes pour contrecarrer les tentatives de force brute. Utiliser Advanced Threat Analytics (ATA) ou des outils similaires pour surveiller et alerter sur les activités suspectes indiquant un kerberoasting.
Si l'AMF est une mesure efficace pour renforcer la sécurité des comptes d'utilisateurs, les attaques de type "kerberoasting" ciblent spécifiquement les comptes de service qui n'utilisent généralement pas l'AMF pour l'authentification, ce qui rend d'autres mesures de protection plus pertinentes pour se défendre contre ce type d'attaques.
L'audit régulier des mots de passe et l'application de la complexité des mots de passe pour les comptes de service sont des défenses essentielles contre le kerberoasting. Des mots de passe forts et complexes sont beaucoup plus difficiles à déchiffrer, même si un pirate obtient le ticket TGS.
Les organisations doivent immédiatement réinitialiser les mots de passe de tout compte de service compromis, procéder à un audit de sécurité approfondi afin de déterminer l'étendue de l'accès obtenu par l'attaquant, et revoir et renforcer les politiques et pratiques de sécurité afin d'éviter de nouveaux incidents.
La formation de sensibilisation à la sécurité joue un rôle crucial en informant les administrateurs et le personnel informatique de la nature des attaques de type kerberoasting, de l'importance des pratiques de sécurisation des mots de passe pour les comptes de service et de la nécessité d'un contrôle vigilant des processus d'authentification et d'autorisation.
Les développements futurs pourraient inclure des avancées dans les mécanismes de cryptage et d'authentification qui rendent les tickets Kerberos plus difficiles à exploiter, ainsi que des améliorations dans les technologies d'IA et d'apprentissage automatique pour détecter et répondre plus efficacement aux demandes d'authentification anormales.