Silverfort pesquisa descobre que os agentes de ameaças podem atacar o novo protocolo de autenticação em nuvem da Microsoft para roubar ou falsificar tickets na nuvem e realizar movimentos laterais
Resumo
Silver Ticket e Pass the Ticket (PTT) são legados infames no local Kerberos ataques usados para realizar Movimento Lateral em Active Directory. Marcando mais um passo em direção à nuvem, a Microsoft fez recentemente azuread Kerberos, sua implementação do protocolo Kerberos baseada em nuvem, está disponível ao público em geral. O Azure AD Kerberos permite a autenticação de recursos em nuvem sem a necessidade de usar um local Active Directory. A Microsoft fez melhorias de segurança nesta variante de nuvem do Kerberos; no entanto, os ataques residem na lógica subjacente de como o protocolo funciona, portanto, corrigi-los exigiria uma reengenharia significativa do Kerberos. Não se trata simplesmente de corrigir código defeituoso.
Desenvolvemos duas variantes de Pass the Ticket e Silver Ticket que funcionam para o Azure AD Kerberos. Nós os chamamos de Bounce the Ticket e Silver Iodide. Estes ataques expõem a infraestrutura hospedada pelo Azure, como servidores e armazenamento, a acesso malicioso.
Você pode ler a análise técnica completa neste artigo:.
De acordo com a divulgação responsável, ambas as técnicas foram compartilhadas com a equipe MSRC da Microsoft antes da publicação. Gostaríamos de compartilhar nosso agradecimento pelo tempo e esforço que a empresa despendeu para avaliar nossa pesquisa.
Como não há solução específica, Silverfort insta as empresas a realizarem as seguintes mitigações:
- Revise e monitore quaisquer alterações no Controle de Acesso do Azure (IAM) e as permissões de controle de acesso do compartilhamento para validar que apenas usuários autorizados tenham permissões para a operação de extração de chave Microsoft.ClassicStorage/storageAccounts/listKeys/action – Kerberos.
- Para evitar o ataque Bounce the Ticket, reduza o número de computadores permitidos para manter TGTs na nuvem ao mínimo necessário. Você pode fazer isso restringindo a política de grupo “Permitir a recuperação do ingresso de concessão de ingresso do Azure AD Kerberos durante o logon” a grupos de segurança que usam o Azure AD Kerberos.