Algunas de las estafas más habituales en Facebook Messenger incluyen las solicitudes de códigos de autenticación, las páginas benéficas falsas que piden donaciones, los mensajes que
Cuando hablamos de seguridad cibernética, llamamos ticket a un conjunto de credenciales utilizadas para autenticar a los usuarios. Un Silver Ticket es un ticket falsificado creado por un usuario no autorizado. Con esta Silver Ticket falsificado, los atacantes pueden lanzar un ataque cibernético que implicará aprovechar las debilidades de un sistema de autenticación Kerberos. En este sistema, un servicio de concesión de tickets (TGS, por sus siglas en inglés) sirve como token de credenciales, y otorga a los usuarios autorizados acceso a servicios específicos. Si un atacante tiene éxito, el Silver Ticket falsificado le permitirá hacerse pasar por una cuenta de servicio y lograr acceder a los recursos de red.
Ataques Silver Ticket frente a Golden Ticket: ¿en qué se diferencian?
Los Golden Ticket también son utilizados en los ataques cibernéticos que falsifican tickets de autenticación para otorgar acceso a los impostores. Pero, en lugar de hacerse pasar por un servicio específico, como en el caso del Silver Ticket, el Golden Ticket se hace pasar por todo un controlador de dominio. Esto significa que si un usuario no autorizado recibe un Golden Ticket, tendrá un acceso más amplio a cualquier servicio dentro del dominio.
Tanto los Silver Tickets como los Golden son tipos de tickets falsificados que aprovechan el protocolo de autenticación Kerberos. La principal diferencia entre ambos radica en el nivel de acceso que otorgan a los usuarios no autorizados.
Cómo funcionan los ataques Silver Ticket
Estos son los cinco pasos que sigue un atacante para ejecutar un ataque Silver Ticket.
1. El atacante vulnerará una cuenta: para que se produzca un ataque Silver Ticket, el atacante debe obtener acceso a la cuenta de un usuario autorizado. El atacante puede vulnerar una cuenta descifrando las contraseñas no seguras mediante ataques de fuerza bruta, phishing o malware.
2. El atacante extrae la información de servicio: una vez que el atacante entra en la red, busca información de servicio valiosa, como el identificador de seguridad (SID) y el sistema de nombres de dominio (DNS).
3. El atacante obtiene el hash NTLM: el hash NTLM se deriva de la contraseña del usuario suplantado y es la clave para cifrar y descifrar los tickets de servicio falsificados. El atacante puede obtener el hash NTLM mediante cracking sin conexión, también conocido como kerberoasting.
4. El atacante falsifica el ticket: utilizando el hash NTLM, el atacante falsificará un servicio de concesión de tickets válido para autenticarse en un servicio específico.
5. El atacante obtiene y aprovecha el acceso: cuando el atacante falsifica el ticket, obtiene acceso completo al servicio. En la mayoría de los casos, los atacantes no se detendrán allí y se desplazarán lateralmente por la red.
Cómo evitar los ataques Silver Ticket
Estos son cuatro consejos para ayudar a evitar los ataques Silver Ticket.
Seguir el principio de los privilegios mínimos (PoLP)
El principio de privilegios mínimos es un principio fundamental en la seguridad cibernética que aboga por conceder a los usuarios y los sistemas solo el acceso a los recursos necesarios para desempeñar sus tareas laborales. Cuando una organización sigue el PoLP y limita los derechos de acceso, se minimiza la posibilidad de que los cibercriminales puedan mejorar sus privilegios en caso de vulnerar la red.
Utilice contraseñas seguras
Un ataque Silver Ticket no puede ocurrir sin que un atacante vulnere una cuenta autorizada asociada a la organización. Todas las cuentas de los empleados deben estar protegidas con una contraseña segura y exclusiva para que no puedan adivinarse ni descifrarse fácilmente. La mejor manera que tienen las organizaciones para supervisar las prácticas de contraseñas de los empleados es invirtiendo en un gestor de contraseñas empresarial. Los gestores de contraseñas proporcionan a los administradores de TI visibilidad y control sobre los hábitos de contraseñas de los empleados, para que su organización esté mejor protegida contra los ataques relacionados con las contraseñas.
Habilite la autenticación multifactor (MFA)
La autenticación multifactor agrega una capa adicional de seguridad a las cuentas, al requerir que los usuarios verifiquen su identidad utilizando otros métodos de autenticación además de su nombre de usuario y contraseña. Las organizaciones deben imponer el uso de la autenticación MFA porque esta medida de seguridad hace que sea más difícil vulnerar las cuentas. Un estudio de Microsoft reveló que habilitar la autenticación MFA puede bloquear más del 99,9 % de los ataques de vulneración de cuentas.
Monitorear el tráfico de autenticación
Supervisar y supervisar regularmente el tráfico de autenticación de la red de su organización es una medida proactiva. Esta práctica permitirá a su organización detectar y mitigar las actividades inusuales desde el principio, antes de que se produzcan más daños.
Proteja su organización de los ataques Silver Ticket con KeeperPAM™
Una solución de gestión del acceso privilegiado (PAM) puede ayudar a su organización a protegerse de los ataques Silver Ticket gestionando y controlando las cuentas privilegiadas. La PAM reduce la probabilidad de que los atacantes accedan a las cuentas privilegiadas, ya que proporciona a los administradores herramientas robustas con las que protegerlas.
KeeperPAM es una solución que implementa el acceso de privilegios mínimos y una seguridad robusta a través de su arquitectura de conocimiento cero y confianza cero. KeeperPAM es una combinación de tres soluciones esenciales de gestión de identidad y acceso (IAM): Enterprise Password Manager (EPM), Keeper Secrets Manager (KSM) y Keeper Connection Manager (KCM). Juntas, reducen la superficie de ataque de la organización al proporcionar visibilidad y seguridad sobre las cuentas privilegiadas.
¿Está listo para comenzar a utilizar KeeperPAM? Solicite un demo hoy mismo.