Como defender o Active Directory dos ataques Kerberoasting e Golden Ticket

Share on facebook
Share on twitter
Share on linkedin
Share on reddit
Share on whatsapp

O que é o Kerberos

O Kerberos é um protocolo de autenticação do Windows, utilizado no Active Directory, que permite que cliente e servidor verifiquem sua identidade mutuamente, autorizando que o usuário opere com segurança, criptografando a transferência de dados, sem limitar as habilidades do usuário.

O que você vai ver neste post

Como funciona o Kerberos

  • Os clientes recebem tickets do KDC (centro de distribuição de chaves), que geralmente é o controlador de domínio;
  • Os tickets recebidos são usados ​​durante o estabelecimento de conexão com os servidores;
  • Os tickets usados ​​pelo protocolo Kerberos armazenam a conta de rede do cliente.

O que é o Kerberoasting

O Kerberoasting é um método eficaz para recuperar contas de serviço do Active Directory em nome de um usuário comum e sem enviar pacotes ao sistema de destino. Ele não tem como objetivo buscar por vulnerabilidades; contudo, o protocolo Kerberos atrai invasores e dificulta a proteção do sistema, pois é difícil detectar algo suspeito entre os eventos comuns.

Como é a implementação do ataque de Kerberoasting

  1. Para realizar um ataque de Kerberoasting, é necessário um acesso de usuário normal, não um propriamente privilegiado.
  2. Então, é solicitado ao controlador de domínio os SPNs disponíveis (nomes principais de serviço).
  3. Depois de receber a lista SPN, juntamente com a conta de serviço, é requisitado um ticket ao controlador de domínio.
  4. Em seguida, o ticket é descarregado da memória para o disco e a força bruta é executada para obter a senha da conta de serviço.

Como se proteger do ataque de Kerberoasting

A melhor medida de proteção contra ataques do Kerberoasting é usar senhas complexas para contas de serviço associadas ao Kerberos e SPN, principalmente em contas privilegiadas.

O ataque Golden Ticket

Descoberto pelo pesquisador de segurança Benjamin Deply, o ataque Golden Ticket, dá ao invasor acesso total e completo ao seu domínio; funcionando como um “bilhete dourado” para o invasor acessar todos os computadores, arquivos, pastas e controladores de domínio.

Curiosidades sobre o Golden Ticket

Geralmente, as contas são admitidas no Active Directory, por um nome de usuário e senha, e recuperadas por um tíquete Kerberos, que contém seu token de autenticação.

O Golden Ticket é o token de autenticação da conta KRBTGT, uma conta especial secreta, que criptografa todos os tokens de autenticação do DC. Usando a técnica de passar o hash para fazer login em qualquer conta, ele permite que os invasores se movimentem pela rede sem serem notados. Há casos em que o invasor pode ter um Golden Ticket por vários anos instalados na máquina, sem o usuário perceber.

Como funciona o Golden Ticket

  1. O invasor infecta o computador da vítima com um malware que permite que os invasores utilizem contas de usuário para acessar outros recursos de rede.
  2. Ele obtém acesso a uma conta com privilégios elevados para acessar aos controladores de domínio (DC).
  3. Faz o login no DC e grava o hash de senha para a conta KRBTGT para criar o Golden Ticket. Então, ele utiliza o mimikatz, ou um aplicativo hacking similar, para despejar o hash de senha.
  4. Carrega o token Kerberos em qualquer sessão, para qualquer usuário e para acessar o que quiser na rede, usando o mimikatz.

Como se proteger do ataque de Golden Ticket

  • Aplicar o princípio do menor privilégio, para que os usuários tenham acesso à apenas os recursos que são essenciais para o seu trabalho;
  • Limitar o acesso do administrador, impedindo que o invasor tenha acesso as contas privilegiadas;
  • Ter proteção de endpoints, que impeça que os atacantes carreguem módulos como Mimikatz;
  • Monitorar o comportamento o acesso dos usuários;
  • Investir em educação cibernética do usuário, para que este seja capaz de reconhecer investidas maliciosas, como sites falsos e links fraudulentos.

Sobre a VaultOne

Uma implementação de um servidores Kerberos adiciona um nível a mais na segurança da informação. Todavia, como em outras estruturas de TI, ele é vulnerável contra senhas fracas.

De acordo com a Gartner, 81% dos incidentes de segurança estão relacionados a credenciais fracas. Gerenciar as credenciais é essencial em Segurança da Informação.

A VaultOne proporciona o controle seguro de acessos privilegiados e auditoria detalhada dos acessos, além de oferecer um cofre digital par o armazenamento seguro de senhas.

Fale com um especialista e descubra como podemos proteger seu negócio.