Vulnerables, nuestros sistemas de información también son frágiles: el ejemplo de Kerberoasting

Se suele hablar de vulnerabilidades cuando nos referimos a un ciberataque. Sin embargo, en ciertos casos, los ciberataques se dirigen a una sencilla y discreta fragilidad del sistema de información de la organización. Es el caso del ataque Kerberoast.

Fragilidad del sistema: el ejemplo de Kerberoasting

Actualmente, cada vez más sistemas de información están sujetos a la fragilidad. El tamaño de su fragilidad viene de ciertas partes de su propia estructura. El caso de Kerberoasting es elocuente y puede servir de ejemplo.

Kerberoast es el nombre de un ataque relativamente identificado. Permite recuperar nuevas cuentas en el Directorio Activo para acceder a servicios (web, bases de datos, ficheros…). La gran mayoría de las empresas se ven afectadas ya que el 99% de ellas disponen de un Directorio Activo.

¿Cómo opera este ataque? El ataque Kerberoast se dirige al protocolo Kerberos, del nombre del perro policéfalo, el cerbero, de la mitología griega. En el ámbito informático, Kerberos ha sido creado por el MIT (Massachusetts Institute of Technology) en 1988, antes de convertirse desde Windows 2000 en el protocolo de identificación por defecto.

La manera en que se despliega es técnica y explota el hecho de que, con Kerberos, cualquier usuario del dominio autentificado puede pedir un ticket de acceso a un servicio, incluso si no tienen el derecho de conectarse a él. Estos tickets vienen codificados utilizando el hash NTLM de la contraseña de la cuenta de servicio.

RC4: un algoritmo débil

Así, con una cuenta de usuario de un dominio comprometido, el atacante puede pedir un ticket de servicio al administrador del dominio. Este último responde con un ticket codificado con la contraseña secreta de la cuenta de servicio SPN. Allí es donde puede producirse el daño: el atacante puede enviar spam a un servidor Kerberos con demandas de TGS, extraer estos tickets de la memoria y luego intentar crackear offline las contraseñas, intentando romper un algoritmo denominado TC4, débil, sin necesitar generar solicitudes/paquetes al servicio objetivo.

En caso de éxito, el atacante posee identificadores de la cuenta de servicio y puede acceder sin restricciones a todos los sistemas y recursos a los cuales la cuenta comprometida tiene acceso. A partir de este momento, el atacante puede seguir desplegándose con un acceso más amplio a los sistemas de información.

Los ataques de tipo Kerberoasting explotan una fragilidad de la arquitectura Kerberos. Permite a un atacante, con el acceso a una cuenta de usuario de dominio (ya sea con su contraseña o ticket TGT), pedir tickets de conexión a un servicio, el que sea, incluso si el usuario no está autorizado a acceder a dicho servicio. Es el ticket de servicio que el administrador del dominio otorga a cualquier cliente autentificado que lo pide, que viene codificado con el hash de la contraseña de la cuenta de servicio y que los atacantes pretenden crackear offline.

Difíciles de identificar, con una parte del ataque offline para las fases de fuerza bruta, estos movimientos permiten a los cibercriminales progresar hasta poder tomar el control del sistema de información.

Ataques súbitos de los que nos podemos proteger

Para protegerse, son posibles varias acciones. La primera consiste en intervenir sobre las cuentas de usuarios privilegiados, ya que son un objetivo prioritario para los atacantes. Si es posible, es preferible no tener cuentas de este tipo que puedan ejecutar servicios, si los derechos privilegiados no son necesarios. Además, si no se pretende que la cuenta se utilice fuera del Directorio Activo, es preferible utilizar las MSA (Managed Service Accounts), que garantizan que la contraseña de la cuenta sea sólida y se cambie de forma periódica y automática. Y si la cuenta se utiliza fuera del Directorio Activo, debe establecerse una contraseña de más de 32 caracteres. Por último, la cuenta de usuario debe configurarse para que admita el algoritmo AES, que es menos vulnerable que RC4.

Podemos verlo claramente con el Kerberoasting: a la vez que vulnerables, nuestros sistemas de información también son frágiles. La fragilidad ilustrada por Kerberos, lejos de ser una vulnerabilidad, es de hecho una simple funcionalidad que no puede extraerse del sistema de información, del mismo modo que se eliminaría un patógeno. Entre los medios de protección, es esencial aplicar buenas prácticas de seguridad (en cuanto a algoritmos de cifrado de tickets, gestión de cuentas de servicio, etc.) o disponer de herramientas de detección de amenazas dentro de las redes.

Detectar movimientos laterales, establecer la narrativa de un ataque a la vista o el uso sospechoso de una cuenta: la verdadera solución pasa necesariamente por esto.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio