Semperis, pioniere nella sicurezza delle identità, ha identificato una vulnerabilità che potrebbe aprire la strada a Kerberoasting o ad altri attacchi.
Charlie Clark, uno dei ricercatori di Semperis, ha dimostrato che è possibile richiedere ticket di servizio (ST) direttamente al servizio di autenticazione (AS).
La possibilità di richiedere ST all’AS genera diverse conseguenze, tra cui la generazione di nuovi percorsi di attacco, aggiramento del rilevamento e potenziale indebolimento dei controlli di sicurezza.
Questi problemi sono stati segnalati a Microsoft lo scorso maggio; la risposta di Microsoft è stata che il comportamento è considerato “by-design”.
Tuttavia, questo comportamento non è mai richiesto nelle normali operazioni per cui la possibilità di eludere i rilevamenti attuali e di eseguire attacchi efficaci, come Kerberoasting, da una posizione non autenticata è un problema serio che non dovrebbe essere ignorato.
Come detto, questo problema può portare a nuovi percorsi di attacco e ha il potenziale per generare un numero ancora maggiore di vulnerabilità in futuro. Questa ricerca, insieme alla risposta di Microsoft, dimostra la necessità di un monitoraggio continuo e di misure di rinforzo adeguate.
Punti chiave della ricerca:
I ticket AS richiesti (AS-REQ) per gli account macchina non sono blindati. L’armatura di Kerberos utilizza un ticket-granting ticket (TGT) per il dispositivo allo scopo di proteggere lo scambio di servizi di autenticazione con il KDC (Key Distribution Center), di conseguenza lo scambio di servizi di autenticazione del computer non è blindato e il TGT dell’utente viene utilizzato per proteggere i suoi scambi di TGS con il KDC.
In un tipico flusso Kerberos, il fatto che venga emessa una chiave di sessione per ogni ticket è una caratteristica importante per questa ricerca. La chiave di sessione viene restituita all’account richiedente all’interno di una sezione crittografata della risposta con la chiave di crittografia che è già nota al richiedente.
La parte del flusso Kerberos su cui si concentra questo post è AS-REQ/AS-REP, che di solito viene utilizzata per richiedere un TGT. Con l’applicazione di Kerberos Flexible Authentication Secure Tunneling (FAST), gli account macchina inviavano ancora i loro AS-REQ non blindati.
Il Kerberoasting è un metodo per recuperare la password in chiaro o l’hash NT di un account di servizio, generalmente un account utente con un SPN. Quando si utilizza questo metodo, non è necessario accedere alla chiave di sessione. È necessario solo l’ST risultante o, più precisamente, la parte crittografata dell’ST, che non è protetta dalla chiave dell’account richiedente.
Un elenco di nomi utente può quindi essere generato in diversi modi, tra cui l’enumerazione degli utenti utilizzando sessioni nulle su un DC, la generazione di un elenco di nomi utente utilizzando l’intelligence open-source (OSINT) o indovinando i nomi utente potenziali. Qualsiasi elenco di nomi utente potenziali può essere facilmente verificato inviando un AS-REQ senza pre-autenticazione. Un nome utente valido che richiede la pre-autenticazione riceve un TGT.
Gli AS-REQ senza pre-autenticazione non vengono registrati come evento di Windows, a meno che l’account non richieda la pre-autenticazione. A questo punto avendo a disposizione l’elenco dei nomi utente e il nome utente di un account che non ha richiesto la pre-autenticazione, è possibile lanciare l’attacco. L’output risultante può essere utilizzato per tentare il cracking offline delle password.
