O que é Kerberoasting e você deve se preocupar com isso?

Os tíquetes Kerberos tornam a Internet mais segura, fornecendo um meio para computadores e servidores em uma rede passarem dados sem a necessidade de verificar suas identidades a cada etapa. No entanto, essa função como um autenticador único, embora temporário, torna os tíquetes Kerberos atraentes para invasores que podem quebrar sua criptografia.

O que são tíquetes Kerberos?

Se você acha que “Kerberos” soa familiar, você está certo. É o nome grego do cachorro de Hades (também conhecido como "Cerberus"). Mas o Kerberos não é um cachorro de colo; tem várias cabeças e guarda os portões do submundo. Kerberos impede que os mortos saiam e impede que personagens perturbados resgatem seus entes queridos da sombria vida após a morte. Dessa forma, você pode pensar no cão como um autenticador que impede o acesso não autorizado.

Kerberos é um protocolo de autenticação de rede que usa chaves criptográficas para verificar as comunicações entre clientes (computadores pessoais) e servidores em redes de computadores. O Kerberos foi criado pelo Instituto de Tecnologia de Massachusetts (MIT) como uma forma de os clientes provarem sua identidade aos servidores quando fazem solicitações de dados. Da mesma forma, os servidores usam tíquetes Kerberos para provar que os dados enviados são autênticos, da fonte pretendida e não foram corrompidos.

Os tíquetes Kerberos são basicamente certificados emitidos para clientes por um terceiro confiável (chamado de centro de distribuição de chaves - KDC para abreviar). Os clientes apresentam esse certificado, juntamente com uma chave de sessão exclusiva, a um servidor quando ele inicia uma solicitação de dados. Apresentar e autenticar o ticket estabelece confiança entre o cliente e o servidor, portanto, não há necessidade de verificar cada solicitação ou comando.

Como funcionam os tíquetes do Kerberos?

Os tickets Kerberos autenticam o acesso do usuário aos serviços. Eles também ajudam os servidores a compartimentar o acesso nos casos em que vários usuários acessam o mesmo serviço. Dessa forma, as solicitações não vazam umas para as outras e pessoas não autorizadas não podem acessar dados restritos a usuários privilegiados.

Por exemplo, Microsoft usa Kerberos protocolo de autenticação quando os usuários acessam servidores Windows ou sistemas operacionais de PC. Portanto, quando você faz login no computador após uma inicialização, o sistema operacional usa tíquetes Kerberos para autenticar sua impressão digital ou senha.

Seu computador armazena temporariamente o tíquete na memória do processo LSASS (Local Security Authority Subsystem Service) para essa sessão. A partir daí, o sistema operacional usa o ticket em cache para autenticações de logon único, para que você não precise fornecer sua biometria ou senha toda vez que precisar fazer algo que exija privilégios administrativos.

Em uma escala maior, os tíquetes Kerberos são usados ​​para proteger as comunicações de rede na Internet. Isso inclui coisas como criptografia HTTPS e verificação de nome de usuário e senha no login. Sem o Kerberos, as comunicações de rede seriam vulneráveis ​​a ataques como falsificação de solicitação entre sites (CSRF) e hacks man-in-the-middle.

O que é Kerberoasting exatamente?

Kerberoasting é um método de ataque em que cibercriminosos roubam tíquetes Kerberos de servidores e tentam extrair hashes de senha em texto sem formatação. Em sua essência, esse ataque é engenharia social, roubo de credenciais, e ataque de força bruta, tudo em um. A primeira e a segunda etapas envolvem o invasor se passando por um cliente e solicitando tíquetes Kerberos de um servidor.

Claro, o ticket é criptografado. No entanto, obter o ticket resolve um dos dois desafios para o hacker. Assim que tiverem o tíquete Kerberos do servidor, o próximo desafio é descriptografá-lo por qualquer meio necessário. Os hackers de posse dos tíquetes do Kerberos farão de tudo para quebrar esse arquivo por causa de seu valor.

Como funcionam os ataques Kerberoasting?

O Kerberoasting explora dois erros comuns de segurança em diretórios ativos - usando senhas curtas e fracas e protegendo arquivos com criptografia fraca. O ataque começa com um hacker usando uma conta de usuário para solicitar um tíquete Kerberos de um KDC.

O KDC então emite um tíquete criptografado conforme o esperado. Em vez de usar esse tíquete para autenticação com um servidor, o hacker o coloca offline e tenta quebrar o tíquete com técnicas de força bruta. As ferramentas usadas para fazer isso são gratuitas e de código aberto, como mimikatz, Hashcat e JohnTheRipper. O ataque também pode ser automatizado com ferramentas como invoke-kerberoast e Rubeus.

Um ataque de kerberoasting bem-sucedido extrairá senhas de texto sem formatação do ticket. O invasor pode então usar isso para autenticar solicitações para um servidor de uma conta de usuário comprometida. Pior ainda, o invasor pode aproveitar o acesso não autorizado recém-descoberto para roubar dados, mover lateralmente no diretório ativoe configurar contas fictícias com privilégios de administrador.

Você deve se preocupar com o Kerberoasting?

Kerberoasting é um ataque popular em diretórios ativos, e você deve se preocupar com isso se for um administrador de domínio ou operador de equipe azul. Não há configuração de domínio padrão para detectar esse ataque. A maior parte disso acontece offline. Se você foi vítima disso, provavelmente saberá depois do fato.

Você pode reduzir sua exposição garantindo que todos em sua rede usem senhas longas compostas de caracteres e símbolos alfanuméricos aleatórios. Além disso, você deve usar criptografia avançada e configurar alertas para solicitações incomuns de usuários do domínio. Você também precisará se proteger contra a engenharia social para evitar violações de segurança que iniciam o Kerberoating em primeiro lugar.