Bilety Kerberos weryfikują tożsamość użytkowników i serwerów. Ale hakerzy również wykorzystują ten system, aby znaleźć poufne informacje o tobie.
Bilety Kerberos zwiększają bezpieczeństwo Internetu, umożliwiając komputerom i serwerom w sieci przesyłanie danych bez konieczności weryfikowania ich tożsamości na każdym kroku. Jednak ta rola jednorazowego, choć tymczasowego, uwierzytelniającego sprawia, że bilety Kerberos są atrakcyjne dla atakujących, którzy mogą złamać ich szyfrowanie.
Czym są bilety Kerberos?
Jeśli myślisz, że „Kerberos” brzmi znajomo, masz rację. Jest to greckie imię psa Hadesa (inaczej znanego jako „Cerberus”). Ale Kerberos to nie piesek; ma kilka głów i strzeże bram podziemnego świata. Kerberos zapobiega odejściu zmarłych i zrozpaczonym postaciom przed wydobyciem ich ukochanych z ponurego życia pozagrobowego. W ten sposób możesz myśleć o psie jako o uwierzytelniającym, który zapobiega nieautoryzowanemu dostępowi.
Kerberos to protokół uwierzytelniania sieci, który używa kluczy kryptograficznych do weryfikacji komunikacji między klientami (komputerami osobistymi) a serwerami w sieciach komputerowych. Kerberos został stworzony przez Massachusetts Institute of Technology (MIT) jako sposób, w jaki klienci mogą potwierdzać swoją tożsamość na serwerach, gdy wysyłają żądania danych. Podobnie serwery używają biletów Kerberos, aby udowodnić, że wysyłane dane są autentyczne, pochodzą z zamierzonego źródła i nie zostały uszkodzone.
Bilety Kerberos to w zasadzie certyfikaty wydawane klientom przez zaufaną stronę trzecią (zwaną centrum dystrybucji kluczy — w skrócie KDC). Klienci przedstawiają ten certyfikat wraz z unikalnym kluczem sesji serwerowi, gdy inicjuje on żądanie danych. Przedstawienie i uwierzytelnienie biletu ustanawia zaufanie między klientem a serwerem, więc nie ma potrzeby weryfikowania każdego pojedynczego żądania lub polecenia.
Jak działają bilety Kerberos?
Bilety Kerberos uwierzytelniają dostęp użytkownika do usług. Pomagają również serwerom podzielić dostęp na segmenty w przypadkach, gdy kilku użytkowników korzysta z tej samej usługi. W ten sposób żądania nie przenikają do siebie, a osoby nieupoważnione nie mają dostępu do danych zastrzeżonych dla użytkowników uprzywilejowanych.
Na przykład, Microsoft używa protokołu Kerberos protokół uwierzytelniania, gdy użytkownicy uzyskują dostęp do serwerów Windows lub systemów operacyjnych komputerów PC. Tak więc, kiedy logujesz się do komputera po uruchomieniu, system operacyjny używa biletów Kerberos do uwierzytelnienia odcisku palca lub hasła.
Twój komputer tymczasowo przechowuje bilet w pamięci procesowej usługi podsystemu urzędu zabezpieczeń lokalnych (LSASS) dla tej sesji. Od tego momentu system operacyjny używa buforowanego biletu dla uwierzytelnianie pojedynczego logowania, więc nie musisz podawać swoich danych biometrycznych ani hasła za każdym razem, gdy musisz zrobić coś, co wymaga uprawnień administracyjnych.
Na większą skalę bilety Kerberos są wykorzystywane do zabezpieczania komunikacji sieciowej w Internecie. Obejmuje to takie rzeczy, jak szyfrowanie HTTPS i weryfikacja nazwy użytkownika i hasła podczas logowania. Bez Kerberos komunikacja sieciowa byłaby podatna na ataki, takie jak np fałszowanie żądań między witrynami (CSRF) i hacki typu man-in-the-middle.
Czym dokładnie jest Kerberoasting?
Kerberoasting to metoda ataku, w której cyberprzestępcy kradną bilety Kerberos z serwerów i próbują wyodrębnić skróty haseł w postaci zwykłego tekstu. U podstaw tego ataku leży inżynieria społeczna, kradzież danych uwierzytelniającychi brutalny atak, wszystko w jednym. Pierwszy i drugi krok polegają na tym, że atakujący podszywa się pod klienta i żąda biletów Kerberos z serwera.
Bilet jest oczywiście zaszyfrowany. Mimo to zdobycie biletu rozwiązuje jedno z dwóch wyzwań stojących przed hakerem. Po otrzymaniu biletu Kerberos z serwera kolejnym wyzwaniem jest odszyfrowanie go wszelkimi niezbędnymi środkami. Hakerzy posiadający bilety Kerberos dołożą wszelkich starań, aby złamać ten plik ze względu na jego wartość.
Jak działają ataki Kerberoasting?
Kerberoasting wykorzystuje dwa powszechne błędy bezpieczeństwa w katalogach aktywnych — używanie krótkich, słabych haseł i zabezpieczanie plików słabym szyfrowaniem. Atak rozpoczyna się od użycia przez hakera konta użytkownika w celu zażądania biletu Kerberos od KDC.
Następnie KDC zgodnie z oczekiwaniami wystawia zaszyfrowany bilet. Zamiast używać tego biletu do uwierzytelniania na serwerze, haker przełącza go w tryb offline i próbuje złamać bilet za pomocą technik brutalnej siły. Narzędzia używane do tego celu są bezpłatne i typu open source, takie jak mimikatz, Hashcat i JohnTheRipper. Atak można również zautomatyzować za pomocą narzędzi takich jak invoke-kerberoast i Rubeus.
Udany atak kerberoasting spowoduje wyodrębnienie haseł w postaci zwykłego tekstu z biletu. Atakujący może następnie użyć tego do uwierzytelnienia żądań kierowanych do serwera ze zhakowanego konta użytkownika. Co gorsza, atakujący może wykorzystać nowo znaleziony, nieautoryzowany dostęp do kradzieży danych, poruszać się w bok w Active Directoryi skonfiguruj fikcyjne konta z uprawnieniami administratora.
Czy powinieneś się martwić Kerberoastingiem?
Kerberoasting to popularny atak na Active Directory i powinieneś się tym martwić, jeśli jesteś administratorem domeny lub operatorem niebieskiego zespołu. Nie ma domyślnej konfiguracji domeny umożliwiającej wykrycie tego ataku. Większość dzieje się offline. Jeśli byłeś ofiarą tego, najprawdopodobniej będziesz wiedział po fakcie.
Możesz zmniejszyć swoje narażenie, upewniając się, że wszyscy w Twojej sieci używają długich haseł składających się z losowych znaków alfanumerycznych i symboli. Ponadto powinieneś używać zaawansowanego szyfrowania i ustawiać alerty dla nietypowych próśb od użytkowników domeny. Będziesz także musiał chronić się przed socjotechniką, aby zapobiec naruszeniom bezpieczeństwa, które zaczynają się od Kerberoatingu.