Qu’est-ce qu’un texte chiffré ?
On appelle texte chiffré des données chiffrées et illisible. La seule façon de lire des données chiffrées est de les déchiffrer à l'aide d'une clé de chiffrement. Comme le texte chiffré ne peut être lu sans...
Le kerberoasting est une forme de cyberattaque qui cible les comptes de service utilisant le protocole d’authentification Kerberos. Les attaquants exploitent le protocole d’authentification pour extraire les hachages de mot de passe et craquer les mots de passe en clair associés au compte. Ces attaques sont fréquentes parce qu’elles peuvent être difficiles à détecter et à atténuer. Sans la mise en œuvre de techniques de détection et de prévention, le Kerberoasting devient une menace sérieuse, car il permet aux cybercriminels de compromettre des comptes à privilèges élevés et d’établir potentiellement des autorisations pour des accès futurs.
Poursuivez votre lecture pour en savoir plus sur les attaques Kerberoasting et sur la manière dont vous pouvez protéger vos comptes contre ces attaques.
Avant de comprendre ce que sont les attaques Kerberoasting, vous devez d’abord comprendre ce qu’est Kerberos et comment il fonctionne. Kerberos est un protocole d’authentification de réseau informatique conçu pour confirmer la validité des utilisateurs par le biais d’un service d’attribution de tickets. Ce système se compose de trois entités principales : le client, le serveur et un centre de distribution de clés (KDC).
Kerberos est un protocole intégré largement utilisé dans les environnements Windows Active Directory (AD). Il est également utilisé dans d’autres systèmes d’exploitation populaires tels qu’Apple macOS, Linux et FreeBSD.
Il est essentiel de comprendre le processus interne des attaques Kerberoasting pour mettre en œuvre des techniques de prévention. Voici les étapes typiques suivies par un attaquant pour infiltrer les comptes de service.
La première chose que fait l’attaquant est de cibler un compte de service faible associé à un nom principal de service (SPN), qui est une identification unique permettant aux utilisateurs d’accéder à un compte spécifique. Les attaquants s’en prennent spécifiquement aux SPN, car l’authentification Kerberos utilise strictement le SPN pour faciliter le service au client.
L’attaquant utilise ensuite le compte compromis et se fait passer pour l’utilisateur du compte pour demander de nombreux tickets au Centre de distribution de clés (KDC), un domaine qui contrôle les personnes autorisées à accéder à un réseau.
Une fois que l’attaquant a reçu un ticket du service d’attribution des tickets (TGS), il l’extrait et utilise une variété d’outils et de techniques hors ligne pour déchiffrer le mot de passe. Les techniques d’attaque par force brute sont souvent utilisées pour craquer le hachage du mot de passe. Cette méthode consiste à saisir de nombreuses combinaisons de mots de passe jusqu’à ce que le bon mot de passe soit découvert.
Une fois qu’un attaquant a réussi à entrer dans le compte, il est en mesure d’accéder à tous les réseaux, ressources, informations et données. Dans la plupart des cas, les attaquants s’accordent des privilèges de compte plus élevés qui leur permettent d’accéder à des données plus sensibles, d’effectuer des actions malveillantes et de créer des portes dérobées pour un accès ultérieur.
Détecter les attaques Kerberoasting le plus tôt possible peut aider à minimiser les dommages. Voici deux signes à surveiller qui peuvent indiquer une attaque Kerberoasting.
Le chiffrement RC4 est l’un des chiffrements de flux les plus courants en raison de sa simplicité et de sa rapidité. Les attaquants utilisent généralement cette technique pour chiffrer les données et lancer des attaques par force brute. Par conséquent, lorsque vous recevez des demandes de tickets chiffrées à l’aide d’un algorithme de chiffrement RC4, la première mesure à prendre est de désactiver immédiatement l’utilisation de RC4 pour l’authentification Kerberos.
Si vous recevez un nombre inhabituel de demandes de service d’attribution de tickets, il convient d’examiner immédiatement la situation. Une bonne pratique consiste à établir une base de référence pour déterminer ce qu’est un volume de demandes anormal. Cela permet d’améliorer la structure et la sécurité en général.
Les attaques Kerberoasting peuvent sembler intimidantes, mais ne vous inquiétez pas, il existe plusieurs moyens de vous protéger, vous et votre organisation, contre ces attaques. Voici cinq meilleures pratiques pour éviter ces attaques.
L’un des moyens les plus simples et les plus efficaces d’empêcher le Kerberoasting est d’utiliser des mots de passe forts, car les mots de passe sont généralement la première cible des cyberattaques. Le fait de disposer d’une solide barrière fondamentale complique la tâche des attaquants et rend votre organisation moins vulnérable. Un mot de passe fort doit être unique, complexe et long. L’utilisation d’un mot de passe simple contenant des informations personnelles ou des séquences courantes peut être facile à retenir, mais il est considéré comme un mot de passe faible. Les mots de passe faibles peuvent être facilement craqués, ce qui augmente le risque d’être hacked.
Un mot de passe fort doit comprendre une combinaison aléatoire de chiffres, de lettres et de symboles. Envisagez d’utiliser un gestionnaire de mots de passe, un outil conçu pour empêcher la compromission des comptes en générant et en stockant en toute sécurité tous vos mots de passe en un seul endroit.
L’authentification multifacteur (MFA) est une couche de sécurité supplémentaire qui exige des utilisateurs qu’ils saisissent des informations supplémentaires en plus de leur nom d’utilisateur et de leur mot de passe. Cette étape supplémentaire consistant à prouver votre identité réduit le risque global de violation de la sécurité. Il existe plusieurs types de facteurs d’authentification tels qu’un code à usage unique, l’authentification biométrique, la localisation géographique ou une question de sécurité. Étant donné que de nombreuses personnes utilisent des mots de passe faibles, l’activation de la MFA est une mesure supplémentaire pour assurer la sécurité de votre compte.
Le principe du moindre privilège est un concept fondamental, car il limite l’accès des utilisateurs aux seules ressources et fonctions essentielles du système. En gérant soigneusement certains droits d’accès et autorisations, les organisations réduisent le risque de violations et l’impact potentiel d’une violation si elle est réussie.
Une stratégie solide de gestion de l’identité et des accès est un cadre complet et un ensemble de pratiques standard qui protègent une organisation. Elle peut contenir des politiques et des procédures visant à garantir que seules les personnes autorisées ont accès aux services de l’organisation. Une façon courante d’aborder cette stratégie consiste à mettre en œuvre une solution de gestion des accès à privilèges (PAM). Les solutions PAM se concentrent sur la restriction et la surveillance des comptes à privilèges d’une organisation qui ont accès à des informations sensibles. Au lieu de gérer manuellement ces utilisateurs à privilèges, PAM offre une solution plus productive et plus simple.
Avec un mot de passe faible et un manque de surveillance, les attaquants Kerberoasting peuvent facilement accéder à des comptes critiques et causer des dommages importants à votre organisation. Dans l’environnement de cybersécurité actuel, la protection contre les attaques Kerberoasting est vitale pour préserver les informations sensibles.
La solution PAM de nouvelle génération de Keeper, KeeperPAM™, permet aux organisations de suivre et de protéger chaque utilisateur à privilèges en combinant Enterprise Password Management (EPM), Keeper Secrets Management (KSM) et Keeper Connection Management (KCM) en une seule plateforme.
Pour voir comment KeeperPAM peut protéger votre organisation contre les attaques Kerberoasting, demandez une démo dès aujourd’hui.