Vstupenky Kerberos ověřují identitu uživatelů a serverů. Hackeři ale také využívají tento systém ke zjištění citlivých informací o vás.
Vstupenky Kerberos zvyšují bezpečnost internetu tím, že poskytují počítačům a serverům v síti prostředky k předávání dat bez nutnosti ověřovat jejich identitu na každém kroku. Tato role jednorázového, i když dočasného autentizátora však činí lístky Kerberos atraktivními pro útočníky, kteří mohou prolomit jejich šifrování.
Co jsou vstupenky Kerberos?
Pokud si myslíte, že „Kerberos“ zní povědomě, máte pravdu. Je to řecké jméno Hádova psa (jinak známého jako „Cerberus“). Ale Kerberos není žádný lapdog; má několik hlav a střeží brány podsvětí. Kerberos brání mrtvým v odchodu a brání rozrušeným postavám, aby vyhnaly své milované z ponurého posmrtného života. Tímto způsobem můžete psa považovat za autentizátora, který zabraňuje neoprávněnému přístupu.
Kerberos je síťový autentizační protokol, který používá kryptografické klíče k ověřování komunikace mezi klienty (osobními počítači) a servery v počítačových sítích. Kerberos byl vytvořen Massachusetts Institute of Technology (MIT) jako způsob, jak mohou klienti prokázat svou identitu serverům, když zadávají požadavky na data. Podobně servery používají lístky Kerberos k prokázání, že zasílaná data jsou autentická, ze zamýšleného zdroje a nebyla poškozena.
Vstupenky Kerberos jsou v podstatě certifikáty vydávané klientům důvěryhodnou třetí stranou (nazývanou centrum distribuce klíčů – zkráceně KDC). Klienti předloží tento certifikát spolu s jedinečným klíčem relace serveru, když iniciuje požadavek na data. Prezentace a ověření tiketu vytváří důvěru mezi klientem a serverem, takže není potřeba ověřovat každý jednotlivý požadavek nebo příkaz.
Jak fungují vstupenky Kerberos?
Vstupenky Kerberos ověřují přístup uživatelů ke službám. Pomáhají také serverům rozdělit přístup v případech, kdy ke stejné službě přistupuje několik uživatelů. Tímto způsobem nedochází k úniku požadavků do sebe a neoprávněné osoby nemají přístup k datům omezeným na privilegované uživatele.
Například, Microsoft používá Kerberos ověřovací protokol, když uživatelé přistupují k serverům Windows nebo operačním systémům PC. Když se tedy po spuštění přihlásíte do počítače, operační systém použije lístky Kerberos k ověření vašeho otisku prstu nebo hesla.
Váš počítač dočasně uloží lístek v paměti procesu LSASS (Local Security Authority Subsystem Service) pro danou relaci. Od této chvíle OS používá lístek uložený v mezipaměti autentizace jednotného přihlášení, takže nemusíte zadávat své biometrické údaje nebo heslo pokaždé, když potřebujete udělat něco, co vyžaduje oprávnění správce.
Ve větším měřítku se lístky Kerberos používají k zabezpečení síťové komunikace na internetu. To zahrnuje věci, jako je šifrování HTTPS a ověření uživatelského jména a hesla při přihlášení. Bez Kerberos by byla síťová komunikace zranitelná vůči podobným útokům padělání požadavků mezi stránkami (CSRF) a man-in-the-middle hacky.
Co je to vlastně Kerberoasting?
Kerberoasting je metoda útoku, kdy kyberzločinci kradou lístky Kerberos ze serverů a snaží se extrahovat hash hesel v prostém textu. V jádru tohoto útoku je sociální inženýrství, krádež pověřenía útok hrubou silou, to vše se spojilo do jednoho. První a druhý krok zahrnují, že se útočník vydává za klienta a požaduje lístky Kerberos ze serveru.
Vstupenka je samozřejmě šifrovaná. Získání lístku však pro hackera řeší jednu ze dvou výzev. Jakmile mají lístek Kerberos ze serveru, další výzvou je jeho dešifrování všemi nezbytnými prostředky. Hackeři, kteří vlastní lístky Kerberos, vynaloží extrémní úsilí, aby tento soubor prolomili, protože je cenný.
Jak fungují útoky Kerberoasting?
Kerberoasting využívá dvě běžné chyby zabezpečení v aktivních adresářích – používání krátkých, slabých hesel a zabezpečení souborů slabým šifrováním. Útok začíná tím, že hacker pomocí uživatelského účtu požádá KDC o lístek Kerberos.
KDC pak podle očekávání vydá zašifrovaný lístek. Místo použití tohoto lístku pro autentizaci se serverem jej hacker přepne do režimu offline a pokusí se lístek prolomit technikami hrubé síly. Nástroje, které se k tomu používají, jsou bezplatné a open-source, jako je mimikatz, Hashcat a JohnTheRipper. Útok lze také automatizovat pomocí nástrojů jako invoke-kerberoast a Rubeus.
Úspěšný kerberoastingový útok vyjme z tiketu hesla ve formátu prostého textu. Útočník to pak může použít k ověření požadavků na server z kompromitovaného uživatelského účtu. Ještě horší je, že útočník může využít nově nalezený neoprávněný přístup ke krádeži dat, přesunout bočně v aktivním adresářia nastavte fiktivní účty s oprávněními správce.
Měli byste se obávat Kerberoastingu?
Kerberoasting je oblíbený útok na aktivní adresáře a měli byste se toho obávat, pokud jste správce domény nebo operátor modrého týmu. Pro detekci tohoto útoku neexistuje žádná výchozí konfigurace domény. Většina z toho se děje offline. Pokud jste se toho stali obětí, s největší pravděpodobností to budete vědět až poté.
Své ohrožení můžete omezit tím, že zajistíte, aby všichni ve vaší síti používali dlouhá hesla složená z náhodných alfanumerických znaků a symbolů. Dále byste měli používat pokročilé šifrování a nastavit upozornění na neobvyklé požadavky od uživatelů domény. Budete se také muset chránit před sociálním inženýrstvím, abyste zabránili narušení bezpečnosti, která v první řadě spouští Kerberoating.