Los tickets de Kerberos verifican las identidades de los usuarios y servidores. Pero los piratas informáticos también están explotando este sistema para obtener información confidencial sobre usted.
Los tickets de Kerberos hacen que Internet sea más seguro al proporcionar un medio para que las computadoras y los servidores de una red pasen datos sin necesidad de verificar sus identidades en cada paso. Sin embargo, esta función como autenticador único, aunque temporal, hace que los vales de Kerberos sean atractivos para los atacantes que pueden descifrar su cifrado.
¿Qué son los boletos de Kerberos?
Si cree que "Kerberos" le suena familiar, tiene razón. Es el nombre griego del perro de Hades (también conocido como "Cerberus"). Pero Kerberos no es un perro faldero; tiene varias cabezas y guarda las puertas del inframundo. Kerberos evita que los muertos se vayan y evita que los personajes angustiados saquen a sus seres queridos del sombrío más allá. De esa manera, puede pensar en el perro como un autenticador que evita el acceso no autorizado.
Kerberos es un protocolo de autenticación de red que utiliza claves criptográficas para verificar las comunicaciones entre clientes (computadoras personales) y servidores en redes informáticas. Kerberos fue creado por el Instituto Tecnológico de Massachusetts (MIT) como una forma para que los clientes demuestren su identidad a los servidores cuando realizan solicitudes de datos. Del mismo modo, los servidores utilizan vales de Kerberos para demostrar que los datos enviados son auténticos, proceden de la fuente prevista y no se han dañado.
Los tickets de Kerberos son básicamente certificados emitidos a los clientes por un tercero de confianza (llamado centro de distribución de claves, KDC para abreviar). Los clientes presentan este certificado, junto con una clave de sesión única, a un servidor cuando inicia una solicitud de datos. Presentar y autenticar el ticket establece la confianza entre el cliente y el servidor, por lo que no es necesario verificar cada solicitud o comando.
¿Cómo funcionan los tickets de Kerberos?
Los tickets de Kerberos autentican el acceso de los usuarios a los servicios. También ayudan a los servidores a compartimentar el acceso en los casos en que hay varios usuarios accediendo al mismo servicio. De esta manera, las solicitudes no se filtran entre sí y las personas no autorizadas no pueden acceder a los datos restringidos a usuarios privilegiados.
Por ejemplo, Microsoft usa Kerberos protocolo de autenticación cuando los usuarios acceden a servidores Windows o sistemas operativos de PC. Entonces, cuando inicia sesión en su computadora después de un arranque, el sistema operativo usa vales de Kerberos para autenticar su huella digital o contraseña.
Su computadora almacena temporalmente el ticket en la memoria de proceso del Servicio de subsistema de autoridad de seguridad local (LSASS) para esa sesión. A partir de ahí, el sistema operativo utiliza el ticket almacenado en caché para autenticaciones de inicio de sesión único, para que no tenga que proporcionar sus datos biométricos o contraseña cada vez que necesite hacer algo que requiera privilegios administrativos.
A mayor escala, los tickets de Kerberos se utilizan para salvaguardar las comunicaciones de red en Internet. Esto incluye cosas como el cifrado HTTPS y la verificación de nombre de usuario y contraseña al iniciar sesión. Sin Kerberos, las comunicaciones de red serían vulnerables a ataques como falsificación de solicitud entre sitios (CSRF) y trucos de hombre en el medio.
¿Qué es exactamente Kerberoasting?
Kerberoasting es un método de ataque en el que los ciberdelincuentes roban tickets de Kerberos de los servidores e intentan extraer hash de contraseñas de texto sin formato. En esencia, este ataque es ingeniería social, robo de credenciales, y ataque de fuerza bruta, todo en uno. El primer y segundo paso involucran al atacante haciéndose pasar por un cliente y solicitando vales Kerberos de un servidor.
Por supuesto, el boleto está encriptado. Sin embargo, obtener el boleto resuelve uno de los dos desafíos para el hacker. Una vez que tienen el ticket de Kerberos del servidor, el próximo desafío es descifrarlo por cualquier medio necesario. Los piratas informáticos en posesión de boletos de Kerberos harán todo lo posible para descifrar este archivo debido a lo valioso que es.
¿Cómo funcionan los ataques de Kerberoasting?
Kerberoasting explota dos errores de seguridad comunes en los directorios activos: usar contraseñas cortas y débiles y proteger los archivos con cifrado débil. El ataque comienza cuando un hacker utiliza una cuenta de usuario para solicitar un ticket Kerberos de un KDC.
Luego, el KDC emite un boleto encriptado como se esperaba. En lugar de utilizar este ticket para la autenticación con un servidor, el hacker lo desconecta e intenta descifrar el ticket con técnicas de fuerza bruta. Las herramientas utilizadas para hacer esto son gratuitas y de código abierto, como mimikatz, Hashcat y JohnTheRipper. El ataque también se puede automatizar con herramientas como invocar-kerberoast y Rubeus.
Un ataque de kerberoasting exitoso extraerá las contraseñas de texto sin formato del ticket. El atacante puede usar eso para autenticar las solicitudes a un servidor desde una cuenta de usuario comprometida. Peor aún, el atacante puede aprovechar el acceso no autorizado recién descubierto para robar datos, moverse lateralmente en el directorio activoy configure cuentas ficticias con privilegios de administrador.
¿Deberías preocuparte por el Kerberoasting?
Kerberoasting es un ataque popular en los directorios activos, y debería estar preocupado si es un administrador de dominio o un operador de equipo azul. No existe una configuración de dominio predeterminada para detectar este ataque. La mayor parte sucede fuera de línea. Si ha sido víctima de esto, lo más probable es que lo sepa después del hecho.
Puede reducir su exposición asegurándose de que todos en su red usen contraseñas largas compuestas de símbolos y caracteres alfanuméricos aleatorios. Además, debe usar cifrado avanzado y configurar alertas para solicitudes inusuales de usuarios del dominio. También deberá protegerse contra la ingeniería social para evitar violaciones de seguridad que comiencen con Kerberoating en primer lugar.
