Τα εισιτήρια Kerberos επαληθεύουν την ταυτότητα των χρηστών και των διακομιστών. Αλλά οι χάκερ εκμεταλλεύονται επίσης αυτό το σύστημα για να ανακαλύψουν ευαίσθητες πληροφορίες για εσάς.
Τα εισιτήρια Kerberos κάνουν το Διαδίκτυο ασφαλέστερο παρέχοντας ένα μέσο στους υπολογιστές και τους διακομιστές σε ένα δίκτυο για να μεταβιβάζουν δεδομένα χωρίς να χρειάζεται να επαληθεύουν την ταυτότητά τους σε κάθε βήμα. Ωστόσο, αυτός ο ρόλος ως εφάπαξ, αν και προσωρινός, επαληθευτής κάνει τα εισιτήρια Kerberos ελκυστικά για τους εισβολείς που μπορούν να σπάσουν την κρυπτογράφηση τους.
Τι είναι τα εισιτήρια Kerberos;
Αν νομίζετε ότι το "Kerberos" ακούγεται γνωστό, έχετε δίκιο. Είναι το ελληνικό όνομα του σκύλου του Άδη (αλλιώς γνωστό ως «Κέρβερος»). Αλλά ο Kerberos δεν είναι παιδότοκος. έχει πολλά κεφάλια και φυλάει τις πύλες του κάτω κόσμου. Ο Kerberos εμποδίζει τους νεκρούς να φύγουν και σταματά τους αναστατωμένους χαρακτήρες να ξεπηδήσουν τους αγαπημένους τους από τη ζοφερή μετά θάνατον ζωή. Με αυτόν τον τρόπο, μπορείτε να σκεφτείτε τον σκύλο ως ένα εργαλείο ελέγχου ταυτότητας που αποτρέπει τη μη εξουσιοδοτημένη πρόσβαση.
Το Kerberos είναι ένα πρωτόκολλο ελέγχου ταυτότητας δικτύου που χρησιμοποιεί κρυπτογραφικά κλειδιά για την επαλήθευση των επικοινωνιών μεταξύ πελατών (προσωπικοί υπολογιστές) και διακομιστών σε δίκτυα υπολογιστών. Το Kerberos δημιουργήθηκε από το Ινστιτούτο Τεχνολογίας της Μασαχουσέτης (MIT) ως ένας τρόπος για τους πελάτες να αποδείξουν την ταυτότητά τους στους διακομιστές όταν υποβάλλουν αιτήματα δεδομένων. Ομοίως, οι διακομιστές χρησιμοποιούν εισιτήρια Kerberos για να αποδείξουν ότι τα δεδομένα που αποστέλλονται είναι αυθεντικά, από την προβλεπόμενη πηγή και ότι δεν έχουν καταστραφεί.
Τα εισιτήρια Kerberos είναι βασικά πιστοποιητικά που εκδίδονται σε πελάτες από ένα αξιόπιστο τρίτο μέρος (που ονομάζεται κέντρο διανομής κλειδιών — για συντομία KDC). Οι πελάτες παρουσιάζουν αυτό το πιστοποιητικό, μαζί με ένα μοναδικό κλειδί περιόδου λειτουργίας, σε έναν διακομιστή όταν ξεκινά ένα αίτημα δεδομένων. Η παρουσίαση και ο έλεγχος ταυτότητας του εισιτηρίου δημιουργεί εμπιστοσύνη μεταξύ του πελάτη και του διακομιστή, επομένως δεν χρειάζεται να επαληθεύσετε κάθε αίτημα ή εντολή.
Πώς λειτουργούν τα εισιτήρια Kerberos;
Τα εισιτήρια Kerberos πιστοποιούν την πρόσβαση των χρηστών στις υπηρεσίες. Επίσης, βοηθούν τους διακομιστές να κατακερματίσουν την πρόσβαση σε περιπτώσεις όπου υπάρχουν πολλοί χρήστες που έχουν πρόσβαση στην ίδια υπηρεσία. Με αυτόν τον τρόπο, τα αιτήματα δεν διαρρέουν μεταξύ τους και τα μη εξουσιοδοτημένα άτομα δεν μπορούν να έχουν πρόσβαση σε δεδομένα που περιορίζονται σε προνομιούχους χρήστες.
Για παράδειγμα, Η Microsoft χρησιμοποιεί Kerberos πρωτόκολλο ελέγχου ταυτότητας όταν οι χρήστες έχουν πρόσβαση σε διακομιστές Windows ή λειτουργικά συστήματα υπολογιστή. Έτσι, όταν συνδέεστε στον υπολογιστή σας μετά την εκκίνηση, το λειτουργικό σύστημα χρησιμοποιεί εισιτήρια Kerberos για τον έλεγχο ταυτότητας του δακτυλικού αποτυπώματος ή του κωδικού πρόσβασής σας.
Ο υπολογιστής σας αποθηκεύει προσωρινά το εισιτήριο στη μνήμη διεργασίας της τοπικής αρχής ασφαλείας υποσυστήματος υπηρεσίας (LSASS) για τη συγκεκριμένη περίοδο λειτουργίας. Από εκεί και πέρα, το λειτουργικό σύστημα χρησιμοποιεί το αποθηκευμένο εισιτήριο για έλεγχοι ταυτότητας με μία σύνδεση, επομένως δεν χρειάζεται να παρέχετε τα βιομετρικά στοιχεία ή τον κωδικό πρόσβασής σας κάθε φορά που χρειάζεται να κάνετε κάτι που απαιτεί δικαιώματα διαχειριστή.
Σε μεγαλύτερη κλίμακα, τα εισιτήρια Kerberos χρησιμοποιούνται για την προστασία των επικοινωνιών δικτύου στο διαδίκτυο. Αυτό περιλαμβάνει πράγματα όπως κρυπτογράφηση HTTPS και επαλήθευση ονόματος χρήστη-κωδικού πρόσβασης κατά τη σύνδεση. Χωρίς Kerberos, οι επικοινωνίες δικτύου θα ήταν ευάλωτες σε επιθέσεις όπως παραχάραξη αιτημάτων μεταξύ τοποθεσιών (CSRF) και «man-in-the-middle hacks».
Τι είναι ακριβώς το Kerberoasting;
Το Kerberoasting είναι μια μέθοδος επίθεσης όπου οι εγκληματίες του κυβερνοχώρου κλέβουν εισιτήρια Kerberos από διακομιστές και προσπαθούν να εξαγάγουν κατακερματισμούς κωδικού πρόσβασης απλού κειμένου. Στον πυρήνα της, αυτή η επίθεση είναι η κοινωνική μηχανική, κλοπή διαπιστευτηρίων, και επίθεση ωμής βίας, όλα σε ένα. Το πρώτο και το δεύτερο βήμα περιλαμβάνουν τον εισβολέα που υποδύεται έναν πελάτη και ζητά εισιτήρια Kerberos από έναν διακομιστή.
Φυσικά, το εισιτήριο είναι κρυπτογραφημένο. Ωστόσο, η απόκτηση του εισιτηρίου λύνει μία από τις δύο προκλήσεις για τον χάκερ. Μόλις λάβουν το εισιτήριο Kerberos από τον διακομιστή, η επόμενη πρόκληση είναι η αποκρυπτογράφηση του με κάθε απαραίτητο μέσο. Οι χάκερ που έχουν στην κατοχή τους εισιτήρια Kerberos θα καταβάλουν κάθε δυνατή προσπάθεια για να σπάσουν αυτό το αρχείο λόγω της αξίας του.
Πώς λειτουργούν οι επιθέσεις Kerberoasting;
Το Kerberoasting εκμεταλλεύεται δύο κοινά λάθη ασφαλείας στους ενεργούς καταλόγους — τη χρήση σύντομων, αδύναμων κωδικών πρόσβασης και την ασφάλεια αρχείων με αδύναμη κρυπτογράφηση. Η επίθεση ξεκινά με έναν χάκερ που χρησιμοποιεί έναν λογαριασμό χρήστη για να ζητήσει ένα εισιτήριο Kerberos από ένα KDC.
Στη συνέχεια, το KDC εκδίδει ένα κρυπτογραφημένο εισιτήριο όπως αναμένεται. Αντί να χρησιμοποιήσει αυτό το εισιτήριο για έλεγχο ταυτότητας με διακομιστή, ο χάκερ το βγάζει εκτός σύνδεσης και προσπαθεί να σπάσει το εισιτήριο με τεχνικές ωμής βίας. Τα εργαλεία που χρησιμοποιούνται για να γίνει αυτό είναι δωρεάν και ανοιχτού κώδικα, όπως το mimikatz, το Hashcat και το JohnTheRipper. Η επίθεση μπορεί επίσης να αυτοματοποιηθεί με εργαλεία όπως το invoke-kerberoast και το Rubeus.
Μια επιτυχημένη επίθεση kerberoasting θα εξαγάγει κωδικούς πρόσβασης απλού κειμένου από το εισιτήριο. Ο εισβολέας μπορεί στη συνέχεια να το χρησιμοποιήσει για τον έλεγχο ταυτότητας αιτημάτων σε έναν διακομιστή από έναν παραβιασμένο λογαριασμό χρήστη. Ακόμη χειρότερα, ο εισβολέας μπορεί να αξιοποιήσει τη νέα, μη εξουσιοδοτημένη πρόσβαση για κλοπή δεδομένων, μετακινηθείτε πλευρικά στον ενεργό κατάλογοκαι δημιουργήστε εικονικούς λογαριασμούς με δικαιώματα διαχειριστή.
Πρέπει να ανησυχείτε για το Kerberoasting;
Το Kerberoasting είναι μια δημοφιλής επίθεση σε ενεργούς καταλόγους και θα πρέπει να ανησυχείτε για αυτό εάν είστε διαχειριστής τομέα ή χειριστής μπλε ομάδας. Δεν υπάρχει προεπιλεγμένη διαμόρφωση τομέα για τον εντοπισμό αυτής της επίθεσης. Τα περισσότερα από αυτά συμβαίνουν εκτός σύνδεσης. Εάν έχετε πέσει θύμα αυτού, πιθανότατα θα το μάθετε εκ των υστέρων.
Μπορείτε να μειώσετε την έκθεσή σας διασφαλίζοντας ότι όλοι στο δίκτυό σας χρησιμοποιούν μεγάλους κωδικούς πρόσβασης που αποτελούνται από τυχαίους αλφαριθμητικούς χαρακτήρες και σύμβολα. Επιπλέον, θα πρέπει να χρησιμοποιείτε προηγμένη κρυπτογράφηση και να ρυθμίζετε ειδοποιήσεις για ασυνήθιστα αιτήματα από χρήστες τομέα. Θα χρειαστεί επίσης να προφυλαχτείτε από την κοινωνική μηχανική για να αποτρέψετε παραβιάσεις ασφάλειας που ξεκινούν το Kerberoating στην πρώτη θέση.
