Les tickets Kerberos vérifient l'identité des utilisateurs et des serveurs. Mais les pirates exploitent également ce système pour découvrir des informations sensibles vous concernant.
Les tickets Kerberos rendent Internet plus sûr en permettant aux ordinateurs et aux serveurs d'un réseau de transmettre des données sans avoir à vérifier leur identité à chaque étape. Cependant, ce rôle d'authentificateur ponctuel, bien que temporaire, rend les tickets Kerberos attrayants pour les attaquants qui peuvent déchiffrer leur cryptage.
Que sont les tickets Kerberos?
Si vous pensez que "Kerberos" vous semble familier, vous avez raison. C'est le nom grec du chien d'Hadès (autrement connu sous le nom de "Cerbère"). Mais Kerberos n'est pas un chien de poche; il a plusieurs têtes et garde les portes des enfers. Kerberos empêche les morts de partir et empêche les personnages désemparés de faire jaillir leurs bien-aimés de l'au-delà sinistre. De cette façon, vous pouvez considérer le chien comme un authentificateur qui empêche tout accès non autorisé.
Kerberos est un protocole d'authentification réseau qui utilise des clés cryptographiques pour vérifier les communications entre les clients (ordinateurs personnels) et les serveurs sur les réseaux informatiques. Kerberos a été créé par le Massachusetts Institute of Technology (MIT) pour permettre aux clients de prouver leur identité aux serveurs lorsqu'ils effectuent des demandes de données. De même, les serveurs utilisent des tickets Kerberos pour prouver que les données envoyées sont authentiques, proviennent de la source prévue et n'ont pas été corrompues.
Les tickets Kerberos sont essentiellement des certificats délivrés aux clients par un tiers de confiance (appelé centre de distribution de clés - KDC en abrégé). Les clients présentent ce certificat, accompagné d'une clé de session unique, à un serveur lorsqu'il lance une demande de données. La présentation et l'authentification du ticket établissent la confiance entre le client et le serveur, il n'est donc pas nécessaire de vérifier chaque demande ou commande.
Comment fonctionnent les tickets Kerberos?
Les tickets Kerberos authentifient l'accès des utilisateurs aux services. Ils aident également les serveurs à compartimenter l'accès dans les cas où plusieurs utilisateurs accèdent au même service. De cette façon, les requêtes ne se mélangent pas et les personnes non autorisées ne peuvent pas accéder aux données réservées aux utilisateurs privilégiés.
Par exemple, Microsoft utilise Kerberos protocole d'authentification lorsque les utilisateurs accèdent aux serveurs Windows ou aux systèmes d'exploitation PC. Ainsi, lorsque vous vous connectez à votre ordinateur après un démarrage, le système d'exploitation utilise des tickets Kerberos pour authentifier votre empreinte digitale ou votre mot de passe.
Votre ordinateur stocke temporairement le ticket dans la mémoire de processus LSASS (Local Security Authority Subsystem Service) pour cette session. À partir de là, le système d'exploitation utilise le ticket mis en cache pour authentifications à authentification unique, vous n'avez donc pas à fournir vos données biométriques ou votre mot de passe chaque fois que vous devez faire quelque chose qui nécessite des privilèges administratifs.
À plus grande échelle, les tickets Kerberos sont utilisés pour protéger les communications réseau sur Internet. Cela inclut des éléments tels que le cryptage HTTPS et la vérification du nom d'utilisateur et du mot de passe lors de la connexion. Sans Kerberos, les communications réseau seraient vulnérables aux attaques telles que falsification de requête intersite (CSRF) et les hacks de l'homme du milieu.
Qu'est-ce que le Kerberoasting exactement?
Kerberoasting est une méthode d'attaque par laquelle les cybercriminels volent des tickets Kerberos sur des serveurs et tentent d'extraire des hachages de mots de passe en clair. À la base, cette attaque est de l'ingénierie sociale, vol d'informations d'identification, et attaque par force brute, tout en un. Les première et deuxième étapes impliquent que l'attaquant se fasse passer pour un client et demande des tickets Kerberos à un serveur.
Bien sûr, le ticket est crypté. Néanmoins, l'obtention du ticket résout l'un des deux défis pour le pirate. Une fois qu'ils ont le ticket Kerberos du serveur, le défi suivant consiste à le déchiffrer par tous les moyens nécessaires. Les pirates en possession de tickets Kerberos feront tout leur possible pour casser ce fichier en raison de sa valeur.
Comment fonctionnent les attaques Kerberoasting?
Kerberoasting exploite deux erreurs de sécurité courantes dans les répertoires actifs: l'utilisation de mots de passe courts et faibles et la sécurisation des fichiers avec un cryptage faible. L'attaque commence par un pirate utilisant un compte d'utilisateur pour demander un ticket Kerberos à un KDC.
Le KDC émet alors un ticket chiffré comme prévu. Au lieu d'utiliser ce ticket pour s'authentifier auprès d'un serveur, le pirate le met hors ligne et tente de casser le ticket avec des techniques de force brute. Les outils utilisés pour ce faire sont gratuits et open source, tels que mimikatz, Hashcat et JohnTheRipper. L'attaque peut également être automatisée avec des outils comme invoke-kerberoast et Rubeus.
Une attaque kerberoasting réussie extraira les mots de passe en clair du ticket. L'attaquant peut ensuite l'utiliser pour authentifier les demandes adressées à un serveur à partir d'un compte d'utilisateur compromis. Pire encore, l'attaquant peut exploiter le nouvel accès non autorisé pour voler des données, se déplacer latéralement dans le répertoire actif, et configurez des comptes factices avec des privilèges d'administrateur.
Devriez-vous vous inquiéter du Kerberoasting?
Kerberoasting est une attaque populaire contre les répertoires actifs, et vous devriez vous en inquiéter si vous êtes un administrateur de domaine ou un opérateur de l'équipe bleue. Il n'y a pas de configuration de domaine par défaut pour détecter cette attaque. La plupart se passe hors ligne. Si vous en avez été victime, vous le saurez très probablement après coup.
Vous pouvez réduire votre exposition en vous assurant que tout le monde sur votre réseau utilise des mots de passe longs composés de caractères alphanumériques et de symboles aléatoires. De plus, vous devez utiliser un cryptage avancé et configurer des alertes pour les demandes inhabituelles des utilisateurs du domaine. Vous devrez également vous prémunir contre l'ingénierie sociale pour éviter les failles de sécurité qui commencent par Kerberoating en premier lieu.