Kerberoasting est une méthode d'attaque sophistiquée qui exploite le protocole d'authentification Kerberos intégré à Active Directory (UN D). Kerberos est conçu pour faciliter une authentification sécurisée sur des réseaux potentiellement non sécurisés et devient un complice involontaire de ces attaques, fournissant une porte dérobée par laquelle les attaquants peuvent obtenir un accès non autorisé aux systèmes et données sensibles.
Kerberoasting cible spécifiquement privilégiés dans un environnement AD, en exploitant le fait que tout utilisateur authentifié peut demander des tickets TGS (Ticket Granting Service) pour n'importe quel service.
Les attaquants exploitent cette fonctionnalité pour demander des tickets TGS associés aux noms principaux de service (SPN), puis travaillent hors ligne pour déchiffrer les tickets cryptés et extraire les mots de passe des comptes de service. Cette technique permet aux attaquants de contourner les défenses du réseau et d'accéder aux zones restreintes sans être détectés.
La menace posée par Kerberoasting est importante en raison de sa nature furtive et du potentiel de violations à fort impact. Organisations tirant parti d’AD pour leur réseau protocoles d'authentification et l’autorisation doit être consciente de ce vecteur de menace pour mettre en œuvre des défenses efficaces.
Comprendre Kerberoasting (ses mécanismes, implications et stratégies de prévention) est crucial pour les professionnels de la cybersécurité et de l'informatique chargés de défendre les actifs numériques de leur organisation.
Kerberoasting exploite le protocole d'authentification Kerberos, qui est un aspect essentiel de Active Directory (AD) utilisé pour authentifier les utilisateurs et les services dans un réseau. Comprendre cette attaque nécessite une compréhension fondamentale de Kerberos lui-même, qui fonctionne sur un mécanisme basé sur des tickets pour garantir des communications sécurisées sur un réseau.
Au cœur de Kerberos se trouve le Ticket Granting Ticket (TGT), obtenu lors de la connexion réussie d'un utilisateur. Le TGT est ensuite utilisé pour demander des tickets TGS (Ticket Granting Service) pour accéder à divers services du réseau. Ces services sont identifiés par leurs noms principaux de service (SPN). C'est un système conçu pour la sécurité, mais son architecture ouvre par inadvertance une porte à son exploitation.
Kerberoasting profite du fait que tout utilisateur authentifié au sein d'un domaine peut demander des tickets TGS pour n'importe quel service défini sous un SPN. En se faisant passer pour un utilisateur légitime, un attaquant demande des tickets TGS pour des services, qui sont cryptés à l'aide du mot de passe du compte de service. Cette attaque repose sur la capacité de l'attaquant à mettre hors ligne ces tickets cryptés et à tenter de les déchiffrer afin de révéler le mot de passe du compte de service.
Ce processus implique les étapes suivantes :
Le Kerberoasting est particulièrement efficace car il peut être effectué avec des privilèges utilisateur standard et sans déclencher d'alertes qui pourraient être associées à d'autres formes d'attaque, telles que des tentatives directes de force brute de mot de passe contre le réseau. De plus, la nature hors ligne des efforts de piratage des mots de passe échappe aux mécanismes de détection que les réseaux utilisent généralement pour identifier les activités suspectes, telles que plusieurs tentatives de connexion infructueuses.
Cette attaque met en évidence une vulnérabilité critique dans la mise en œuvre du protocole Kerberos dans les environnements Windows AD : la confiance dans le secret et la force des mots de passe des comptes de service. Compte tenu de la nature silencieuse et furtive du Kerberoasting, il constitue une menace importante pour les organisations, permettant aux attaquants d'accéder à des services et des données sensibles.
Dans les réseaux organisationnels, les attaques Kerberoasting sont courantes et réussies, illustrant une vulnérabilité critique en matière de cybersécurité. Alors que les attaquants affinent leurs méthodologies, Kerberoasting reste un exploit attrayant en raison de sa combinaison de furtivité et d'efficacité. Il est essentiel de comprendre le fonctionnement de cette menace afin de concevoir des défenses capables de résister à sa complexité.
Le Kerberoasting est devenu une méthode d'attaque courante, en partie à cause de l'omniprésence de Windows. Active Directory (AD) dans les environnements d'entreprise et la relative simplicité d'exécution de l'attaque. Des outils tels que le module Invoke-Kerberoast de PowerSploit ou Rubeus rendent ces attaques accessibles même aux attaquants les moins avancés techniquement. Des incidents réels, notamment des violations notables attribuées à des acteurs et à des groupes criminels parrainés par l'État, mettent en évidence la menace permanente que représente Kerberoasting.
Les attaques Kerberoasting font partie des cyberattaques les plus sophistiquées observées ces dernières années, démontrant les enjeux élevés lorsque les organisations ne parviennent pas à sécuriser leurs données. Active Directory (AD) de manière adéquate.
Dans un exemple notable, les acteurs malveillants à l'origine de l'opération Wocao ont utilisé le module Invoke-Kerberoast du framework PowerSploit pour lancer des attaques Kerberoasting. Cette opération a démontré la capacité des attaquants à demander des tickets de service cryptés et à déchiffrer ensuite les mots de passe des comptes de service Windows hors ligne.
Les comptes piratés ont ensuite été utilisés pour mouvement latéral au sein des réseaux, permettant une exploitation plus poussée et un accès aux informations sensibles. Cet incident souligne l'efficacité de Kerberoasting dans les campagnes de menaces persistantes avancées (APT), soulignant l'importance de sécuriser les comptes de service contre de telles attaques (MITRE ATT & CK).
Un autre cas important concernait le Violation de SolarWinds, où les attaquants ont exploité Kerberoasting, entre autres techniques, pour accéder aux réseaux. Dans ce cas, les attaquants ont obtenu des tickets TGS (Ticket Granting Service) pour Active Directory Noms principaux de service (SPN) et les a craqués hors ligne pour élever leurs privilèges d'accès.
Cette compromission a non seulement mis en évidence la vulnérabilité des comptes de service au Kerberoasting, mais également le potentiel d'implications de grande envergure, car la violation a touché de nombreuses organisations et agences gouvernementales de premier plan (MITRE ATT & CK).
Le groupe criminel connu sous le nom de Wizard Spider utiliserait Kerberoasting dans le cadre de son arsenal. Ils ont utilisé des outils tels que Rubeus et Mimikatz pour voler les hachages AES et les informations d'identification des comptes de service via Kerberoasting. Cette technique leur a permis de maintenir l'accès et le contrôle sur les réseaux compromis, facilitant ainsi le déploiement de ransomware et d'autres charges utiles malveillantes. Les activités de Wizard Spider illustrent l’exploitation criminelle du Kerberoasting, soulignant le risque pour les organisations de tous les secteurs (MITRE ATT & CK).
Ces exemples d’attaques Kerberoasting illustrent la nécessité cruciale pour les organisations de surveiller et de sécuriser activement leurs environnements AD. La sophistication et la diversité des attaquants qui exploitent cette technique (des groupes APT parrainés par l'État aux collectifs criminels) soulignent l'importance de mesures de sécurité robustes, notamment des politiques de mots de passe strictes, un audit régulier des comptes de service et la mise en œuvre de mécanismes de détection pour identifier les activités suspectes. de tentatives de Kerberoasting.
Afin de détecter et d'empêcher Kerberoasting, qui exploite les fonctionnalités légitimes du protocole d'authentification Kerberos à des fins malveillantes, une approche multidimensionnelle est nécessaire.
Les organisations peuvent réduire considérablement leur vulnérabilité au Kerberoasting grâce à une planification stratégique, des protocoles de sécurité robustes et une surveillance continue.