O kerberoasting é uma forma de ataque cibernético que visa contas de serviço que utilizam o protocolo de autenticação Kerberos. Os invasores exploram o protocolo de autenticação para extrair hashes de senhas e quebrar as senhas de texto simples anexadas às contas. Esses ataques são comuns porque podem ser difíceis de notar e mitigar. Sem implementar técnicas de detecção e prevenção, o kerberoasting torna-se uma ameaça grave porque permite que cibercriminosos comprometam contas altamente privilegiadas e potencialmente configurem autorizações para acessos futuros.
Continue lendo para saber mais sobre os ataques de kerberoasting e como proteger suas contas contra eles.
O que é o Kerberos?
Antes de entender o que são ataques de kerberoasting, primeiro é necessário entender o que é o Kerberos e como ele funciona. Kerberos é um protocolo de autenticação de rede de computadores projetado para confirmar a validade dos usuários através de um serviço de concessão de tíquetes. Esse sistema consiste em três entidades principais: o cliente, o servidor e um centro de distribuição de chaves (KDC).
O Kerberos é um protocolo integrado e amplamente utilizado em ambientes do Windows Active Directory (AD). Também é utilizado em outros sistemas operacionais populares, como Apple macOS, Linux e FreeBSD.
Como os ataques de kerberoasting funcionam?
É crucial entender o processo interno dos ataques de kerberoasting ao colocar técnicas de prevenção em vigor. Aqui estão os passos típicos que um invasor toma para se infiltrar em contas de serviço.
1. Comprometer uma conta
A primeira coisa que o invasor faz é atacar uma conta de serviço fraca associada a um nome da entidade de serviço (SPN), que é um identificador exclusivo que permite o acesso de usuários a uma conta específica. Os invasores visam especificamente os SPNs porque a autenticação Kerberos utiliza estritamente o SPN para facilitar o serviço ao cliente.
2. Solicitar vários tíquetes
Em seguida, o invasor aproveita a conta comprometida e se passa pelo usuário da conta para solicitar vários tíquetes do centro de distribuição de chaves (KDC), um domínio que controla quem pode acessar uma rede.
3. Descriptografar a senha e lançar um ataque de força bruta
Quando o invasor recebe um tíquete do serviço de concessão de tíquetes (TGS), ele o extrai e utiliza uma série de ferramentas e técnicas offline para descriptografar a senha. Técnicas de ataque de força bruta são frequentemente utilizadas para quebrar o hash da senha. Esse método envolve inserir várias combinações de senhas até descobrir a correta.
4. Obter acesso total ao servidor
Após um invasor entrar na conta com sucesso, ele poderá acessar todas as redes, recursos, informações e dados. Na maioria dos casos, os invasores concedem a si mesmos privilégios de contas mais elevados para acessar dados mais confidenciais, realizar ações maliciosas e configurar portas para acessos futuros.
Como detectar o kerberoasting
Detectar ataques de kerberoasting o mais cedo possível pode ajudar a minimizar os danos. Aqui estão dois sinais que podem indicar um ataque de kerberoasting.
Criptografia RC4
A criptografia RC4 é uma das cifras de fluxo mais comuns devido à sua simplicidade e velocidade. Geralmente, invasores utilizam essa técnica para criptografar dados e executar ataques de força bruta. Portanto, ao receber solicitações de tíquetes criptografados pelo algoritmo de criptografia RC4, o primeiro passo a ser tomado é desabilitar imediatamente o uso de RC4 para autenticação Kerberos.
Quantidade incomum de solicitações TGS
Ao receber uma quantidade incomum de solicitações do serviço de concessão de tíquetes, isso deve ser imediatamente examinado. Uma prática recomendada é estabelecer uma linha de base do que seria um volume anormal de solicitações. Isso cria uma melhor estrutura e segurança em geral.
Como prevenir o kerberoasting
Os ataques de kerberoasting podem parecer intimidantes, mas não entre em pânico, há várias maneiras de proteger sua organização contra eles. Aqui estão cinco práticas recomendadas para evitar esses ataques.
Crie senhas fortes
Uma das maneiras mais fáceis e eficazes de prevenir o kerberoasting é utilizar senhas fortes, pois as senhas geralmente são o primeiro alvo de ataques cibernéticos. Ter uma barreira fundamental sólida dificulta para os invasores e torna sua organização menos vulnerável. Uma senha forte deve ser exclusiva, complexa e longa. Utilizar uma senha simples que contenha informações pessoais ou sequências comuns pode ser fácil de memorizar, mas é considerada uma senha fraca. Senhas fracas podem ser facilmente quebradas, aumentando o risco de ser hackeado.
Uma senha forte deve incluir uma combinação aleatória de números, letras e símbolos. Considere utilizar um gerenciador de senhas, uma ferramenta projetada para evitar o comprometimento de contas gerando e armazenando com segurança todas as suas senhas em um único lugar.
Habilite a MFA
A autenticação multifator (MFA) é uma camada extra de segurança que exige que os usuários insiram informações adicionais além do nome de usuário e senha. Essa etapa extra para comprovar sua identidade reduz o risco geral de uma violação de segurança. Há vários tipos de fatores de autenticação, como códigos de uso único, autenticação biométrica, localização geográfica ou uma pergunta de segurança. Como muitas pessoas utilizam senhas fracas, habilitar a MFA é uma medida extra para manter sua conta segura.
Siga o princípio do menor privilégio (PoLP)
Seguir o princípio do privilégio mínimo é um conceito fundamental, pois ele limita o acesso dos usuários apenas aos recursos e funções do sistema que são essenciais. Ao gerenciar cuidadosamente determinados direitos e permissões de acesso, as organizações reduzem o risco de violações e o possível impacto de uma violação, quando bem-sucedida.
Estratégia de segurança de identidade
Uma estratégia sólida de gerenciamento de acesso e identidade envolve uma estrutura abrangente e um conjunto de práticas padrão que ajudam a proteger uma organização. Ela pode conter políticas e procedimentos para garantir que apenas indivíduos autorizados tenham acesso aos serviços da organização. Uma maneira comum de abordar essa estratégia é implementar uma solução de gerenciamento de acesso privilegiado (PAM). As soluções de PAM são focadas em restringir e monitorar as contas privilegiadas de uma organização que tenham acesso a informações confidenciais. Ao invés de gerenciar manualmente esses usuários privilegiados, o PAM oferece uma solução mais simples e produtiva.
Evite ataques de kerberoasting com o Keeper
Com apenas uma senha fraca e falta de vigilância, invasores de kerberoasting podem facilmente obter acesso a contas críticas e causar danos consideráveis à sua organização. No cenário de segurança cibernética atual, é vital se proteger contra ataques de kerberoasting para preservar informações confidenciais.
A solução de PAM de última geração da Keeper, o KeeperPAM™, permite que organizações monitorem e protejam cada usuário privilegiado combinando o Enterprise Password Management (EPM), o Keeper Secrets Management (KSM) e o Keeper Connection Management (KCM) em uma única plataforma.
Para ver como o KeeperPAM pode manter sua organização protegida contra ataques de kerberoasting, solicite uma demonstração hoje mesmo.