Kerberoasting es un ataque común utilizado por actores malintencionados una vez que obtienen acceso a la red interna de una organización y una cuenta de dominio se ve comprometida. Kerberoasting permite a un atacante elevar sus privilegios al obtener acceso a contraseñas para cuentas de servicio de dominio.
Cómo funciona Kerberoasting?
Kerberos es un protocolo de autenticación de red que se utiliza en las redes de Microsoft y que funciona mediante el uso de tickets que verifican la identidad de un recurso. Kerberoasting apunta a Kerberos en un entorno de Microsoft Active Directory y sus características de diseño integradas. Kerberos utiliza dos tipos de tickets; Tickets de concesión de tickets y tickets de servicio. Los tickets de servicio se obtienen del servicio de concesión de tickets y brindan acceso a los servicios de la aplicación. Un ticket de concesión de tickets se utiliza para autenticar la identidad de un usuario o cuenta de servicio en Active Directory. Los usuarios de dominio autenticados pueden solicitar un vale de servicio para los servicios en el dominio de Active Directory.
Cuando esto sucede, el controlador de dominio no verifica si el usuario que solicita el vale de servicio tiene acceso o permisos al servicio en cuestión. Esto es por diseño, ya que cada servicio es responsable de hacer cumplir los permisos después de usar el Ticket de servicio para validar la identidad del recurso. Sin embargo, un atacante puede solicitar un vale de servicio y posiblemente descifrar la contraseña que contiene, lo que proporcionaría las credenciales de la cuenta en texto sin formato para el atacante. Esto podría permitir a un atacante obtener derechos adicionales en el dominio o ayudar al atacante a moverse lateralmente.
Como protegerse de los ataques Kerberoasting?
Proteger su organización de los ataques de Kerberoasting es sencillo. Si bien no hay forma de detener este comportamiento de ticket, ya que es parte de la arquitectura Kerberos, los siguientes controles pueden minimizar la probabilidad de ataques exitosos:
- Establezca una política de contraseñas segura que requiera contraseñas de al menos 25 caracteres para las cuentas de servicio. Esto limita en gran medida la rapidez con la que un atacante podría descifrar una contraseña si se capturara un ticket.
- Rote las contraseñas de las cuentas de servicio en un horario establecido. Esto limita la cantidad de tiempo que tiene un atacante para intentar descifrar una multa.
- Habilite el registro de auditoría en el controlador de dominio para registrar las solicitudes de tickets del Servicio de concesión de tickets Kerberos exitosas, en particular aquellas que se solicitan con un cifrado débil RC4 o DES, y configure una información de seguridad y monitoreo de eventos (SIEM) o una herramienta de administración de registros para alertar sobre estos eventos.
Reducir el riesgo con controles de seguridad por capas
El riesgo que plantea Kerberoasting depende de la madurez del programa de seguridad de la información y las políticas de TI de una organización. Para realizar un ataque de Kerberoasting, un atacante ya debe haber obtenido acceso a una red interna que ejecute Microsoft Active Directory y haber comprometido al menos una cuenta de dominio. Las organizaciones pueden ayudar a prevenir este tipo de puntos de apoyo con fuertes controles de seguridad perimetrales y de terminales, como autenticación multifactor en el acceso remoto, software antimalware sólido en las estaciones de trabajo y filtros de red que evitan los canales de comando y control de malware.
De manera similar, las prácticas sólidas de control de acceso, incluida la aplicación del principio de privilegio mínimo a las cuentas de servicio, pueden ayudar a reducir el daño que puede causar una cuenta de servicio comprometida a través de un ataque Kerberoasting.
Fuente: https://www.sikich.com/insight/protecting-your-network-from-kerberoasting-attacks/