Kerberos-billetter bekræfter brugernes og servernes identitet. Men hackere udnytter også dette system til at finde ud af følsomme oplysninger om dig.
Kerberos-billetter gør internettet mere sikkert ved at give computere og servere på et netværk mulighed for at videregive data uden at skulle bekræfte deres identitet ved hvert trin. Denne rolle som en engangs, omend midlertidig, autentificering gør imidlertid Kerberos-billetterne attraktive for angribere, der kan knække deres kryptering.
Hvad er Kerberos-billetter?
Hvis du synes "Kerberos" lyder bekendt, har du ret. Det er det græske navn på Hades' hund (også kendt som "Cerberus"). Men Kerberos er ingen skødehund; den har flere hoveder og vogter underverdenens porte. Kerberos forhindrer de døde i at forlade og forhindrer forvirrede karakterer i at få deres elskede ud af det dystre efterliv. På den måde kan du tænke på hunden som en autentificering, der forhindrer uautoriseret adgang.
Kerberos er en netværksgodkendelsesprotokol, der bruger kryptografiske nøgler til at verificere kommunikation mellem klienter (personlige computere) og servere på computernetværk. Kerberos blev skabt af Massachusetts Institute of Technology (MIT) som en måde for klienter at bevise deres identitet over for servere, når de fremsætter dataanmodninger. Ligeledes bruger servere Kerberos-billetter til at bevise, at de sendte data er autentiske fra den tilsigtede kilde og ikke er blevet beskadiget.
Kerberos-billetter er dybest set certifikater udstedt til kunder af en betroet tredjepart (kaldet et nøgledistributionscenter – forkortet KDC). Klienter præsenterer dette certifikat sammen med en unik sessionsnøgle til en server, når den starter en dataanmodning. Præsentation og autentificering af billetten etablerer tillid mellem klienten og serveren, så der er ingen grund til at verificere hver enkelt anmodning eller kommando.
Hvordan fungerer Kerberos-billetter?
Kerberos-billetter autentificerer brugeradgang til tjenester. De hjælper også servere med at opdele adgang i tilfælde, hvor der er flere brugere, der har adgang til den samme tjeneste. På denne måde lækker anmodninger ikke ind i hinanden, og uautoriserede personer kan ikke få adgang til data, der er begrænset til privilegerede brugere.
For eksempel, Microsoft bruger Kerberos autentificeringsprotokol, når brugere får adgang til Windows-servere eller pc-operativsystemer. Så når du logger ind på din computer efter en opstart, bruger operativsystemet Kerberos-billetter til at autentificere dit fingeraftryk eller din adgangskode.
Din computer gemmer midlertidigt billetten i LSASS-proceshukommelsen (Local Security Authority Subsystem Service) for den pågældende session. Derefter bruger OS den cachelagrede billet til single sign-on-godkendelser, så du ikke behøver at angive din biometri eller adgangskode, hver gang du skal gøre noget, der kræver administrative rettigheder.
I større skala bruges Kerberos-billetter til at sikre netværkskommunikation på internettet. Dette inkluderer ting som HTTPS-kryptering og brugernavn-adgangskodebekræftelse ved login. Uden Kerberos ville netværkskommunikation være sårbar over for angreb som f.eks cross-site request forgery (CSRF) og man-in-the-midten hacks.
Hvad er Kerberoasting helt præcist?
Kerberoasting er en angrebsmetode, hvor cyberkriminelle stjæler Kerberos-billetter fra servere og forsøger at udtrække plaintext password hashes. I sin kerne er dette angreb social engineering, legitimationstyveri, og brute-force-angreb, alle rullede sammen i ét. Det første og andet trin involverer, at angriberen efterligner en klient og anmoder om Kerberos-billetter fra en server.
Billetten er selvfølgelig krypteret. Ikke desto mindre løser det at få billetten en af to udfordringer for hackeren. Når de først har fået Kerberos-billetten fra serveren, er den næste udfordring at dekryptere den på alle nødvendige måder. Hackere i besiddelse af Kerberos-billetter vil gå meget langt for at knække denne fil på grund af hvor værdifuld den er.
Hvordan virker Kerberoasting-angreb?
Kerberoasting udnytter to almindelige sikkerhedsfejl i aktive mapper – ved hjælp af korte, svage adgangskoder og sikring af filer med svag kryptering. Angrebet begynder med, at en hacker bruger en brugerkonto til at anmode om en Kerberos-billet fra en KDC.
KDC udsteder derefter en krypteret billet som forventet. I stedet for at bruge denne billet til autentificering med en server, tager hackeren den offline og forsøger at knække billetten med brute force-teknikker. De værktøjer, der bruges til at gøre dette, er gratis og open source, såsom mimikatz, Hashcat og JohnTheRipper. Angrebet kan også automatiseres med værktøjer som invoke-kerberoast og Rubeus.
Et vellykket kerberoasting-angreb vil udtrække klartekst-adgangskoder fra billetten. Angriberen kan derefter bruge det til at godkende anmodninger til en server fra en kompromitteret brugerkonto. Endnu værre, angriberen kan udnytte den nyfundne, uautoriserede adgang til at stjæle data, flytte sideværts i den aktive mappe, og opsæt dummy-konti med administratorrettigheder.
Bør du være bekymret for Kerberoasting?
Kerberoasting er et populært angreb på aktive mapper, og du bør være bekymret for det, hvis du er domæneadministrator eller blå teamoperatør. Der er ingen standard domænekonfiguration til at registrere dette angreb. Det meste sker offline. Hvis du har været udsat for dette, vil du højst sandsynligt vide det bagefter.
Du kan reducere din eksponering ved at sikre, at alle på dit netværk bruger lange adgangskoder, der består af tilfældige alfanumeriske tegn og symboler. Desuden bør du bruge avanceret kryptering og opsætte advarsler for usædvanlige anmodninger fra domænebrugere. Du skal også beskytte dig mod social engineering for at forhindre sikkerhedsbrud, der starter Kerberoating i første omgang.