Il Kerberoasting è una forma di attacco informatico che prende di mira gli account di servizio utilizzando il protocollo di autenticazione Kerberos. Gli aggressori sfruttano il protocollo di autenticazione per estrarre gli hash delle password e decifrare le password di testo semplice allegate all’account. Questi attacchi sono molto diffusi perché possono essere difficili da individuare e mitigare. Se non si implementano tecniche di rilevamento e prevenzione, il Kerberoasting può essere una seria minaccia poiché consente ai cybercriminali di compromettere account con privilegi elevati e potenzialmente impostare l’autorizzazione per accessi futuri.
Continua a leggere per scoprire di più sugli attacchi Kerberoasting e come puoi proteggere i tuoi account da tali attacchi.
Che cos’è Kerberos?
Prima di capire cosa sono gli attacchi Kerberoasting, devi prima sapere cos’è Kerberos e come funziona. Kerberos è un protocollo di autenticazione di reti informatiche progettato per confermare la validità degli utenti attraverso un servizio di concessione di ticket. Questo sistema è costituito da tre entità principali: il client, il server e un Key Distribution Center (KDC).
Kerberos è un protocollo ampiamente utilizzato e integrato negli ambienti Active Directory (AD) Windows. Inoltre, viene utilizzato in altri sistemi operativi popolari come Apple macOS, Linux e FreeBSD.
Come funzionano gli attacchi Kerberoasting?
Comprendere la procedura interna degli attacchi Kerberoasting è fondamentale per implementare le tecniche di prevenzione. Ecco i passaggi tipici che un malintenzionato adotta per infiltrarsi negli account di servizio.
1. Compromettere un account
La prima cosa che l’aggressore fa è prendere di mira un account di servizio debole associato a un Service Principal Name (SPN), ovvero un’identità unica che consente agli utenti di accedere a un account specifico. Gli aggressori prendono di mira gli SPN perché l’autenticazione Kerberos utilizza rigorosamente l’SPN per facilitare il servizio al cliente.
2. Richiedere più di un ticket
L’aggressore sfrutta quindi l’account compromesso e si finge l’utente dell’account per richiedere ticket multipli al Key Distribution Center (KDC), un dominio che controlla chi può accedere a una rete.
3. Decifrare la password e usare attacchi di forza bruta
Una volta che l’aggressore riceve un ticket dal Ticket Granting Service (TGS), lo estrae e utilizza vari tool e tecniche offline per decifrare la password. Spesso vengono utilizzate le tecniche di attacco di forza bruta per decifrare l’hash della password. Questo metodo prevede l’inserimento di numerose combinazioni di password fino a quando non viene scoperta quella corretta.
4. Ottenere l’accesso completo al server
Dopo che il malintenzionato è entrato nell’account, può accedere a tutte le reti, le risorse, le informazioni e i dati. Nella maggior parte dei casi, gli aggressori si concedono privilegi dell’account superiori per accedere a dati sensibili, eseguire azioni dannose e creare backdoor per accessi futuri.
Come rilevare il Kerberoasting
Rilevare gli attacchi Kerberoasting il prima possibile può aiutare a minimizzare i danni. Ecco due segnali a cui prestare attenzione in quanto potrebbero indicare un attacco Kerberoasting.
Crittografia RC4
La crittografia RC4 è una delle crittografie a flusso più comuni per la sua semplicità e velocità. Solitamente, gli aggressori utilizzano questa tecnica per crittografare i dati ed eseguire attacchi di forza bruta. Pertanto, quando ricevi richieste di ticket crittografate mediante un algoritmo di crittografia RC4, il primo passo da fare è disabilitare immediatamente l’uso dell’RC4 per l’autenticazione Kerberos.
Quantità insolita di richieste TGS
Se ricevi una quantità insolita di richieste di concessione di ticket per il servizio, esaminale subito. Una buona pratica è stabilire una base di riferimento per capire cos’è un volume di richieste anomalo. Ciò contribuisce a creare una struttura e una sicurezza complessive migliori.
Come prevenire il Kerberoasting
Gli attacchi Kerberoasting possono intimidire, ma non devi preoccuparti, ci sono diversi modi per proteggere te e la tua organizzazione da tali attacchi. Ecco cinque migliori pratiche per evitare questi attacchi.
Crea delle password forti
Uno dei modi più facili ed efficienti per prevenire il Kerberoasting è utilizzare password forti poiché le password sono di solito il primo obiettivo degli attacchi informatici. Disporre di una solida barriera scoraggia gli aggressori e rende la tua organizzazione meno vulnerabile. Una password forte deve essere unica, complessa e lunga. L’uso di una password semplice che contiene informazioni personali o sequenze comuni può essere facile da ricordare, ma è considerata una password debole. Le password deboli possono essere facilmente decifrate, aumentando il rischio di essere hackerate.
Una password forte deve includere una combinazione casuale di numeri, lettere e simboli. Considera la possibilità di utilizzare un password manager: uno strumento progettato per prevenire gli account compromessi generando e memorizzando in modo sicuro tutte le password in un unico luogo.
Abilita l’autenticazione a più fattori
L’autenticazione a più fattori (MFA) è un ulteriore livello di sicurezza che richiede agli utenti di inserire ulteriori informazioni oltre al proprio nome utente e password. Questo ulteriore step di identificazione riduce il rischio generale di violazione della sicurezza. Esistono diversi tipi di fattori di autenticazione, come i codici monouso, l’autenticazione biometrica, la posizione geografia o una domanda di sicurezza. Poiché molte persone utilizzano password deboli, abilitare l’MFA è una misura in più per proteggere il tuo account.
Seguire il principio del privilegio minimo (PoLP)
Seguire il principio dei privilegi minimi è un concetto fondamentale perché limita l’accesso degli utenti solo alle risorse e alle funzioni di sistema essenziali. Mediante la gestione attenta di determinati diritti di accesso e autorizzazioni, le organizzazioni possono ridurre il rischio di violazioni e il potenziale impatto qualora andassero a buon fine.
Strategia di sicurezza delle identità
Una solida strategia di gestione dell’identità e degli accessi costituisce un framework completo e una serie di pratiche standard che contribuiscono a proteggere un’organizzazione. Può contenere policy e procedure per far sì che solo le persone autorizzate possano accedere ai servizi dell’organizzazione. Un modo comune di affrontare questa strategia è implementando una soluzione di gestione degli accessi privilegiati (PAM). Le soluzioni PAM si concentrano sulla limitazione e sul monitoraggio degli account con privilegi di un’organizzazione che possono accedere alle informazioni sensibili. Invece di gestire manualmente questi utenti con privilegi, la PAM offre una soluzione più produttiva e più semplice.
Evita gli attacchi Kerberoasting con Keeper
Con una password debole e una mancanza di sorveglianza, mediante gli attacchi Kerberoasting, gli aggressori possono accedere facilmente agli account critici e causare danni notevoli alla tua organizzazione. Nell’ambiente di sicurezza informatica di oggi, la protezione dagli attacchi Kerberoasting è fondamentale per preservare le informazioni sensibili.
La soluzione PAM di nuova generazione di Keeper, KeeperPAM™, consente alle organizzazioni di tenere traccia e proteggere ogni utente con privilegi combinando Enterprise Password Management (EPM), Keeper Secrets Management (KSM) e Keeper Connection Management (KCM) in un’unica piattaforma.
Per scoprire come KeeperPAM può proteggere la tua organizzazione dagli attacchi Kerberoasting, richiedi una demo oggi stesso.