Qu’est ce qu' Kerberoastage ?

Kerberoasting est une méthode d'attaque sophistiquée qui exploite le protocole d'authentification Kerberos intégré à Active Directory (UN D). Kerberos est conçu pour faciliter une authentification sécurisée sur des réseaux potentiellement non sécurisés et devient un complice involontaire de ces attaques, fournissant une porte dérobée par laquelle les attaquants peuvent obtenir un accès non autorisé aux systèmes et données sensibles.

Kerberoasting cible spécifiquement privilégiés dans un environnement AD, en exploitant le fait que tout utilisateur authentifié peut demander des tickets TGS (Ticket Granting Service) pour n'importe quel service.

Les attaquants exploitent cette fonctionnalité pour demander des tickets TGS associés aux noms principaux de service (SPN), puis travaillent hors ligne pour déchiffrer les tickets cryptés et extraire les mots de passe des comptes de service. Cette technique permet aux attaquants de contourner les défenses du réseau et d'accéder aux zones restreintes sans être détectés.

La menace posée par Kerberoasting est importante en raison de sa nature furtive et du potentiel de violations à fort impact. Organisations tirant parti d’AD pour leur réseau protocoles d'authentification et l’autorisation doit être consciente de ce vecteur de menace pour mettre en œuvre des défenses efficaces.

Comprendre Kerberoasting (ses mécanismes, implications et stratégies de prévention) est crucial pour les professionnels de la cybersécurité et de l'informatique chargés de défendre les actifs numériques de leur organisation.

Comment fonctionne le Kerberasting

Kerberoasting exploite le protocole d'authentification Kerberos, qui est un aspect essentiel de Active Directory (AD) utilisé pour authentifier les utilisateurs et les services dans un réseau. Comprendre cette attaque nécessite une compréhension fondamentale de Kerberos lui-même, qui fonctionne sur un mécanisme basé sur des tickets pour garantir des communications sécurisées sur un réseau.

Le protocole d'authentification Kerberos

Au cœur de Kerberos se trouve le Ticket Granting Ticket (TGT), obtenu lors de la connexion réussie d'un utilisateur. Le TGT est ensuite utilisé pour demander des tickets TGS (Ticket Granting Service) pour accéder à divers services du réseau. Ces services sont identifiés par leurs noms principaux de service (SPN). C'est un système conçu pour la sécurité, mais son architecture ouvre par inadvertance une porte à son exploitation.

Le vecteur d'attaque

Kerberoasting profite du fait que tout utilisateur authentifié au sein d'un domaine peut demander des tickets TGS pour n'importe quel service défini sous un SPN. En se faisant passer pour un utilisateur légitime, un attaquant demande des tickets TGS pour des services, qui sont cryptés à l'aide du mot de passe du compte de service. Cette attaque repose sur la capacité de l'attaquant à mettre hors ligne ces tickets cryptés et à tenter de les déchiffrer afin de révéler le mot de passe du compte de service.

Ce processus implique les étapes suivantes :

  1. Analyse des comptes de service : les attaquants analysent l'AD à la recherche de des comptes d'utilisateurs ou administrateurs avec les SPN associés, qui indiquent les comptes de service.
  2. Demande de tickets TGS : à l'aide des informations d'identification d'un utilisateur légitime, les attaquants demandent des tickets TGS au contrôleur de domaine AD pour les comptes de service identifiés.
  3. Extraction et piratage des tickets : l'attaquant extrait ensuite la partie cryptée des tickets TGS et utilise la force brute hors ligne ou des outils de craquage de mot de passe pour découvrir le mot de passe du compte de service.

Pourquoi c'est efficace

Le Kerberoasting est particulièrement efficace car il peut être effectué avec des privilèges utilisateur standard et sans déclencher d'alertes qui pourraient être associées à d'autres formes d'attaque, telles que des tentatives directes de force brute de mot de passe contre le réseau. De plus, la nature hors ligne des efforts de piratage des mots de passe échappe aux mécanismes de détection que les réseaux utilisent généralement pour identifier les activités suspectes, telles que plusieurs tentatives de connexion infructueuses.

Cette attaque met en évidence une vulnérabilité critique dans la mise en œuvre du protocole Kerberos dans les environnements Windows AD : la confiance dans le secret et la force des mots de passe des comptes de service. Compte tenu de la nature silencieuse et furtive du Kerberoasting, il constitue une menace importante pour les organisations, permettant aux attaquants d'accéder à des services et des données sensibles.

Le paysage des menaces

Dans les réseaux organisationnels, les attaques Kerberoasting sont courantes et réussies, illustrant une vulnérabilité critique en matière de cybersécurité. Alors que les attaquants affinent leurs méthodologies, Kerberoasting reste un exploit attrayant en raison de sa combinaison de furtivité et d'efficacité. Il est essentiel de comprendre le fonctionnement de cette menace afin de concevoir des défenses capables de résister à sa complexité.

Prévalence des attaques Kerberoasting

Le Kerberoasting est devenu une méthode d'attaque courante, en partie à cause de l'omniprésence de Windows. Active Directory (AD) dans les environnements d'entreprise et la relative simplicité d'exécution de l'attaque. Des outils tels que le module Invoke-Kerberoast de PowerSploit ou Rubeus rendent ces attaques accessibles même aux attaquants les moins avancés techniquement. Des incidents réels, notamment des violations notables attribuées à des acteurs et à des groupes criminels parrainés par l'État, mettent en évidence la menace permanente que représente Kerberoasting.

Facteurs contribuant au succès de Kerberoasting

  • Politiques de mots de passe faibles : les comptes de service ont souvent des mots de passe faibles ou par défaut qui sont rarement modifiés, ce qui en fait des cibles privilégiées pour Kerberoasting.
  • Manque de visibilité et de surveillance : de nombreuses organisations ne disposent pas de la visibilité nécessaire sur leur environnement AD pour détecter les premiers signes d'une attaque Kerberoasting.
  • Mauvaise configuration et comptes surprivilégiés : les comptes de service mal configurés et ceux dotés de privilèges inutiles étendent la surface d'attaque pour le Kerberasting.
  • Furtivité : les attaques Kerberoasting sont difficiles à détecter car elles ne nécessitent pas de privilèges élevés et peuvent être exécutées sans déclencher plusieurs tentatives d'authentification infructueuses, qui sont généralement surveillées.

Exemples d'attaques Kerberoasting

Les attaques Kerberoasting font partie des cyberattaques les plus sophistiquées observées ces dernières années, démontrant les enjeux élevés lorsque les organisations ne parviennent pas à sécuriser leurs données. Active Directory (AD) de manière adéquate.

Opération Wocao

Dans un exemple notable, les acteurs malveillants à l'origine de l'opération Wocao ont utilisé le module Invoke-Kerberoast du framework PowerSploit pour lancer des attaques Kerberoasting. Cette opération a démontré la capacité des attaquants à demander des tickets de service cryptés et à déchiffrer ensuite les mots de passe des comptes de service Windows hors ligne.

Les comptes piratés ont ensuite été utilisés pour mouvement latéral au sein des réseaux, permettant une exploitation plus poussée et un accès aux informations sensibles. Cet incident souligne l'efficacité de Kerberoasting dans les campagnes de menaces persistantes avancées (APT), soulignant l'importance de sécuriser les comptes de service contre de telles attaques (MITRE ATT & CK).

Compromis SolarWinds

Un autre cas important concernait le Violation de SolarWinds, où les attaquants ont exploité Kerberoasting, entre autres techniques, pour accéder aux réseaux. Dans ce cas, les attaquants ont obtenu des tickets TGS (Ticket Granting Service) pour Active Directory Noms principaux de service (SPN) et les a craqués hors ligne pour élever leurs privilèges d'accès.

Cette compromission a non seulement mis en évidence la vulnérabilité des comptes de service au Kerberoasting, mais également le potentiel d'implications de grande envergure, car la violation a touché de nombreuses organisations et agences gouvernementales de premier plan (MITRE ATT & CK).

Utilisation du Kerberoasting par Wizard Spider

Le groupe criminel connu sous le nom de Wizard Spider utiliserait Kerberoasting dans le cadre de son arsenal. Ils ont utilisé des outils tels que Rubeus et Mimikatz pour voler les hachages AES et les informations d'identification des comptes de service via Kerberoasting. Cette technique leur a permis de maintenir l'accès et le contrôle sur les réseaux compromis, facilitant ainsi le déploiement de ransomware et d'autres charges utiles malveillantes. Les activités de Wizard Spider illustrent l’exploitation criminelle du Kerberoasting, soulignant le risque pour les organisations de tous les secteurs (MITRE ATT & CK).

Ces exemples d’attaques Kerberoasting illustrent la nécessité cruciale pour les organisations de surveiller et de sécuriser activement leurs environnements AD. La sophistication et la diversité des attaquants qui exploitent cette technique (des groupes APT parrainés par l'État aux collectifs criminels) soulignent l'importance de mesures de sécurité robustes, notamment des politiques de mots de passe strictes, un audit régulier des comptes de service et la mise en œuvre de mécanismes de détection pour identifier les activités suspectes. de tentatives de Kerberoasting.

Détection et prévention du Kerberoasting

Afin de détecter et d'empêcher Kerberoasting, qui exploite les fonctionnalités légitimes du protocole d'authentification Kerberos à des fins malveillantes, une approche multidimensionnelle est nécessaire.

Les organisations peuvent réduire considérablement leur vulnérabilité au Kerberoasting grâce à une planification stratégique, des protocoles de sécurité robustes et une surveillance continue.

Meilleures pratiques de prévention

  • Tirer parti de l'identité Sécurité Zero Trust Stratégies: En mettant en œuvre un modèle de sécurité Zero Trust, vous pouvez garantir qu'aucune entité du réseau n'est approuvée par défaut, quel que soit son emplacement dans le périmètre. Ce principe s'applique à la fois aux utilisateurs humains et aux comptes de service, et en exigeant une vérification à chaque tentative d'accès, vous pouvez réduire la surface d'attaque disponible pour les adversaires, y compris ceux qui tentent de Kerberoasting.
  • Mettre en œuvre des politiques de mots de passe strictes: Appliquez des mots de passe complexes, longs (idéalement plus de 25 caractères) et régulièrement modifiés pour tous les comptes, en particulier les comptes de service avec des noms principaux de service (SPN). L'utilisation d'outils tels que les gestionnaires de mots de passe et les comptes de service gérés de groupe (gMSA) peut aider à maintenir une bonne hygiène des mots de passe sans sacrifier l'efficacité opérationnelle.
  • Activer Authentification multi-facteurs (MFA) : l'ajout d'une couche de sécurité supplémentaire via MFA peut réduire considérablement le risque d'accès non autorisé, même si les informations d'identification du compte de service sont compromises. La MFA devrait être la norme pour tous les comptes d’utilisateurs, pas seulement pour ceux disposant de privilèges élevés.
  • Adhérer au principe de Le moindre privilège (PoLP) : assurez-vous que les comptes, en particulier les comptes de service, disposent uniquement des autorisations nécessaires à leurs fonctions. La limitation des droits d'accès minimise les dommages potentiels qu'un attaquant peut causer s'il compromet un compte.
  • Développer une stratégie globale de sécurité des identités: Un robuste gestion des identités et des accès Le cadre peut protéger contre diverses menaces, y compris Kerberoasting. Cette stratégie devrait inclure des audits réguliers des comptes de services, gestion des accès privilégiés (PAM) et l'adoption de solutions de sécurité qui offrent une visibilité et un contrôle sur l'utilisation des comptes​.

Techniques de détection du Kerberoasting

  • Surveiller l'activité anormale de Kerberos: implémentez la journalisation et la surveillance pour détecter les modèles inhabituels de demandes d'authentification Kerberos, tels qu'un volume élevé de demandes TGS pour les SPN dans un court laps de temps.
  • Utilisation du compte de service d'audit : examinez régulièrement l'activité du compte de service pour détecter tout signe d'utilisation non autorisée, comme l'accès à des services ou à des données en dehors des schémas normaux. Cet examen peut aider à identifier comptes compromis avant qu’ils ne soient utilisés pour un mouvement latéral ou une exfiltration de données.
  • Tirer parti des analyses de sécurité avancées: L'utilisation de l'apprentissage automatique et de l'analyse comportementale peut aider à identifier les signes subtils de Kerberoasting, en faisant la distinction entre l'utilisation légitime d'un compte de service et une activité potentiellement malveillante.