Kerberos-tickets verifiëren de identiteit van gebruikers en servers. Maar hackers maken ook gebruik van dit systeem om gevoelige informatie over u te achterhalen.
Kerberos-tickets maken het internet veiliger door computers en servers op een netwerk een manier te bieden om gegevens door te geven zonder dat ze bij elke stap hun identiteit hoeven te verifiëren. Deze rol als eenmalige, zij het tijdelijke authenticator maakt de Kerberos-tickets echter aantrekkelijk voor aanvallers die hun codering kunnen kraken.
Wat zijn Kerberos-tickets?
Als je denkt dat "Kerberos" bekend klinkt, heb je gelijk. Het is de Griekse naam van de hond van Hades (ook wel bekend als "Cerberus"). Maar Kerberos is geen schoothondje; het heeft verschillende hoofden en bewaakt de poorten van de onderwereld. Kerberos voorkomt dat de doden vertrekken en voorkomt dat radeloze personages hun geliefden uit het grimmige hiernamaals halen. Op die manier kun je de hond zien als een authenticator die ongeautoriseerde toegang voorkomt.
Kerberos is een netwerkauthenticatieprotocol dat cryptografische sleutels gebruikt om de communicatie tussen clients (personal computers) en servers op computernetwerken te verifiëren. Kerberos is gemaakt door het Massachusetts Institute of Technology (MIT) als een manier voor klanten om hun identiteit aan servers te bewijzen wanneer ze gegevensverzoeken indienen. Evenzo gebruiken servers Kerberos-tickets om te bewijzen dat de verzonden gegevens authentiek zijn, afkomstig zijn van de bedoelde bron en niet beschadigd zijn.
Kerberos-tickets zijn in feite certificaten die aan klanten worden uitgegeven door een vertrouwde derde partij (een sleuteldistributiecentrum genoemd, kortweg KDC). Clients presenteren dit certificaat, samen met een unieke sessiesleutel, aan een server wanneer deze een gegevensverzoek initieert. Door het ticket te presenteren en te authenticeren, ontstaat er vertrouwen tussen de client en de server, dus het is niet nodig om elk afzonderlijk verzoek of commando te verifiëren.
Hoe werken Kerberos-tickets?
Kerberos-tickets verifiëren gebruikerstoegang tot services. Ze helpen servers ook om de toegang in compartimenten te verdelen in gevallen waarin meerdere gebruikers toegang hebben tot dezelfde service. Op deze manier lekken verzoeken niet in elkaar en hebben onbevoegden geen toegang tot gegevens die voorbehouden zijn aan bevoorrechte gebruikers.
Bijvoorbeeld, Microsoft gebruikt Kerberos authenticatieprotocol wanneer gebruikers toegang krijgen tot Windows-servers of pc-besturingssystemen. Dus wanneer u zich na het opstarten aanmeldt bij uw computer, gebruikt het besturingssysteem Kerberos-tickets om uw vingerafdruk of wachtwoord te verifiëren.
Uw computer slaat het ticket tijdelijk op in het LSASS-procesgeheugen (Local Security Authority Subsystem Service) voor die sessie. Vanaf dat moment gebruikt het besturingssysteem het ticket in de cache voor single sign-on-authenticaties, zodat u niet elke keer uw biometrische gegevens of wachtwoord hoeft op te geven als u iets moet doen waarvoor beheerdersrechten nodig zijn.
Op grotere schaal worden Kerberos-tickets gebruikt om netwerkcommunicatie op internet te beveiligen. Dit omvat zaken als HTTPS-codering en gebruikersnaam-wachtwoordverificatie bij inloggen. Zonder Kerberos zou netwerkcommunicatie kwetsbaar zijn voor aanvallen zoals cross-site verzoek vervalsing (CSRF) en man-in-the-middle-hacks.
Wat is Kerberoasting precies?
Kerberoasting is een aanvalsmethode waarbij cybercriminelen Kerberos-tickets van servers stelen en wachtwoord-hashes in leesbare tekst proberen te extraheren. In de kern is deze aanval social engineering, legitimatie stelen, en brute-force aanval, alles samengevoegd. Bij de eerste en tweede stap doet de aanvaller zich voor als een client en vraagt hij Kerberos-tickets aan bij een server.
Uiteraard is het ticket versleuteld. Niettemin lost het verkrijgen van het ticket een van de twee uitdagingen voor de hacker op. Zodra ze het Kerberos-ticket van de server hebben, is de volgende uitdaging het op alle mogelijke manieren te decoderen. Hackers die in het bezit zijn van Kerberos-tickets zullen zich tot het uiterste inspannen om dit bestand te kraken vanwege de waarde ervan.
Hoe werken Kerberoasting-aanvallen?
Kerberoasting maakt gebruik van twee veelvoorkomende beveiligingsfouten in actieve mappen: het gebruik van korte, zwakke wachtwoorden en het beveiligen van bestanden met zwakke codering. De aanval begint wanneer een hacker een gebruikersaccount gebruikt om een Kerberos-ticket aan te vragen bij een KDC.
Het KDC geeft vervolgens zoals verwacht een versleuteld ticket af. In plaats van dit ticket te gebruiken voor authenticatie met een server, haalt de hacker het offline en probeert het ticket te kraken met brute force-technieken. De tools die hiervoor worden gebruikt, zijn gratis en open-source, zoals mimikatz, Hashcat en JohnTheRipper. De aanval kan ook worden geautomatiseerd met tools als invoke-kerberoast en Rubeus.
Een succesvolle kerberoasting-aanval zal wachtwoorden in platte tekst uit het ticket halen. De aanvaller kan dat vervolgens gebruiken om verzoeken aan een server te verifiëren vanaf een gecompromitteerd gebruikersaccount. Erger nog, de aanvaller kan de nieuw gevonden, ongeautoriseerde toegang gebruiken om gegevens te stelen, zijdelings verplaatsen in de actieve directory, en stel dummy-accounts in met beheerdersrechten.
Moet u zich zorgen maken over Kerberoasting?
Kerberoasting is een populaire aanval op actieve mappen, en u zou zich hier zorgen over moeten maken als u een domeinbeheerder of blauwe teamoperator bent. Er is geen standaard domeinconfiguratie om deze aanval te detecteren. Het meeste gebeurt offline. Als u hiervan het slachtoffer bent geworden, zult u het hoogstwaarschijnlijk achteraf weten.
U kunt uw blootstelling verminderen door ervoor te zorgen dat iedereen in uw netwerk lange wachtwoorden gebruikt die bestaan uit willekeurige alfanumerieke tekens en symbolen. Bovendien moet u geavanceerde codering gebruiken en waarschuwingen instellen voor ongebruikelijke verzoeken van domeingebruikers. Je moet je ook beschermen tegen social engineering om beveiligingsinbreuken te voorkomen die in de eerste plaats beginnen met Kerberoating.
