Bounce the Ticket e ataques de iodeto de prata no Azure AD Kerberos 

Silverfort pesquisa descobre que os agentes de ameaças podem atacar o novo protocolo de autenticação em nuvem da Microsoft para roubar ou falsificar tickets na nuvem e realizar movimentos laterais  

Resumo 

Silver Ticket e Pass the Ticket (PTT) são legados infames no local Kerberos ataques usados ​​para realizar Movimento Lateral em Active Directory. Marcando mais um passo em direção à nuvem, a Microsoft fez recentemente azuread Kerberos, sua implementação do protocolo Kerberos baseada em nuvem, está disponível ao público em geral. O Azure AD Kerberos permite a autenticação de recursos em nuvem sem a necessidade de usar um local Active Directory. A Microsoft fez melhorias de segurança nesta variante de nuvem do Kerberos; no entanto, os ataques residem na lógica subjacente de como o protocolo funciona, portanto, corrigi-los exigiria uma reengenharia significativa do Kerberos. Não se trata simplesmente de corrigir código defeituoso. 

Desenvolvemos duas variantes de Pass the Ticket e Silver Ticket que funcionam para o Azure AD Kerberos. Nós os chamamos de Bounce the Ticket e Silver Iodide. Estes ataques expõem a infraestrutura hospedada pelo Azure, como servidores e armazenamento, a acesso malicioso.

Você pode ler a análise técnica completa neste artigo:.  

De acordo com a divulgação responsável, ambas as técnicas foram compartilhadas com a equipe MSRC da Microsoft antes da publicação. Gostaríamos de compartilhar nosso agradecimento pelo tempo e esforço que a empresa despendeu para avaliar nossa pesquisa.  

Como não há solução específica, Silverfort insta as empresas a realizarem as seguintes mitigações: 

  1. Revise e monitore quaisquer alterações no Controle de Acesso do Azure (IAM) e as permissões de controle de acesso do compartilhamento para validar que apenas usuários autorizados tenham permissões para a operação de extração de chave Microsoft.ClassicStorage/storageAccounts/listKeys/action – Kerberos.   
  1. Para evitar o ataque Bounce the Ticket, reduza o número de computadores permitidos para manter TGTs na nuvem ao mínimo necessário. Você pode fazer isso restringindo a política de grupo “Permitir a recuperação do ingresso de concessão de ingresso do Azure AD Kerberos durante o logon” a grupos de segurança que usam o Azure AD Kerberos.  
      

Leia o artigo completo aqui

Pare as ameaças à identidade agora