Lístky Kerberos overujú totožnosť používateľov a serverov. Hackeri však využívajú tento systém aj na to, aby o vás zistili citlivé informácie.
Lístky Kerberos robia internet bezpečnejším tým, že poskytujú počítačom a serverom v sieti prostriedky na odovzdávanie údajov bez potreby overovania ich identity na každom kroku. Avšak táto úloha ako jednorazového, aj keď dočasného overovateľa robí lístky Kerberos atraktívnymi pre útočníkov, ktorí dokážu prelomiť ich šifrovanie.
Čo sú lístky Kerberos?
Ak si myslíte, že „Kerberos“ znie povedome, máte pravdu. Je to grécke meno Hádovho psa (inak známeho ako „Cerberus“). Ale Kerberos nie je lapdog; má niekoľko hláv a stráži brány podsvetia. Kerberos bráni mŕtvym v odchode a bráni rozrušeným postavám vyháňať svojich milovaných z pochmúrneho posmrtného života. Týmto spôsobom môžete psa považovať za autentifikátora, ktorý zabraňuje neoprávnenému prístupu.
Kerberos je sieťový autentifikačný protokol, ktorý používa kryptografické kľúče na overenie komunikácie medzi klientmi (osobnými počítačmi) a servermi v počítačových sieťach. Kerberos bol vytvorený Massachusettským technologickým inštitútom (MIT) ako spôsob, ako môžu klienti preukázať svoju identitu serverom, keď požiadajú o údaje. Podobne servery používajú lístky Kerberos na preukázanie, že odosielané údaje sú autentické, z určeného zdroja a nie sú poškodené.
Lístky Kerberos sú v podstate certifikáty vydávané klientom dôveryhodnou treťou stranou (nazývanou centrum distribúcie kľúčov – skrátene KDC). Klienti predložia tento certifikát spolu s jedinečným kľúčom relácie serveru, keď iniciuje požiadavku na údaje. Prezentácia a overenie lístka vytvára dôveru medzi klientom a serverom, takže nie je potrebné overovať každú jednu požiadavku alebo príkaz.
Ako fungujú lístky Kerberos?
Lístky Kerberos overujú prístup používateľov k službám. Pomáhajú tiež serverom rozdeliť prístup v prípadoch, keď k tej istej službe pristupuje niekoľko používateľov. Žiadosti sa tak navzájom nedostanú a neoprávnené osoby nebudú mať prístup k údajom obmedzeným na privilegovaných používateľov.
Napríklad, Microsoft používa Kerberos overovací protokol, keď používatelia pristupujú k serverom Windows alebo operačným systémom PC. Keď sa teda po spustení prihlásite do počítača, operačný systém použije lístky Kerberos na overenie vášho odtlačku prsta alebo hesla.
Váš počítač dočasne uloží lístok v pamäti procesu LSASS (Local Security Authority Subsystem Service) pre túto reláciu. Odtiaľ OS používa lístok uložený vo vyrovnávacej pamäti autentifikácia jediným prihlásením, takže nemusíte zadávať svoje biometrické údaje alebo heslo zakaždým, keď potrebujete urobiť niečo, čo si vyžaduje oprávnenia správcu.
Vo väčšom meradle sa lístky Kerberos používajú na zabezpečenie sieťovej komunikácie na internete. To zahŕňa veci ako šifrovanie HTTPS a overenie používateľského mena a hesla pri prihlásení. Bez Kerberos by bola sieťová komunikácia zraniteľná voči podobným útokom falšovanie žiadostí medzi stránkami (CSRF) a hacky man-in-the-middle.
Čo je to vlastne Kerberoasting?
Kerberoasting je metóda útoku, pri ktorej kyberzločinci kradnú lístky Kerberos zo serverov a pokúšajú sa získať hash hesiel v otvorenom texte. Vo svojej podstate je tento útok sociálnym inžinierstvom, kradnutie poverení, a útok hrubou silou, všetko zhrnuté do jedného. Prvý a druhý krok zahŕňajú, že sa útočník vydáva za klienta a vyžiada si lístky Kerberos zo servera.
Lístok je samozrejme šifrovaný. Získanie lístka však pre hackera rieši jednu z dvoch výziev. Keď budú mať lístok Kerberos zo servera, ďalšou výzvou je jeho dešifrovanie akýmikoľvek potrebnými prostriedkami. Hackeri, ktorí vlastnia lístky Kerberos, vynaložia veľké úsilie na prelomenie tohto súboru, pretože je cenný.
Ako fungujú útoky Kerberoasting?
Kerberoasting využíva dve bežné chyby zabezpečenia v aktívnych adresároch – používanie krátkych, slabých hesiel a zabezpečenie súborov slabým šifrovaním. Útok začína tým, že hacker použije používateľský účet na vyžiadanie lístka Kerberos od KDC.
KDC potom podľa očakávania vydá zašifrovaný lístok. Namiesto použitia tohto lístka na autentifikáciu so serverom ho hacker prepne do režimu offline a pokúsi sa prelomiť lístok pomocou techník hrubej sily. Nástroje, ktoré sa na to používajú, sú bezplatné a s otvoreným zdrojom, ako napríklad mimikatz, Hashcat a JohnTheRipper. Útok možno automatizovať aj pomocou nástrojov ako invoke-kerberoast a Rubeus.
Úspešný kerberoastingový útok vytiahne z tiketu heslá v obyčajnom texte. Útočník to potom môže použiť na overenie požiadaviek na server z kompromitovaného používateľského účtu. Ešte horšie je, že útočník môže využiť novo nájdený neoprávnený prístup na krádež údajov, presunúť bočne v aktívnom adresária nastavte fiktívne účty s oprávneniami správcu.
Mali by ste sa obávať Kerberoastingu?
Kerberoasting je populárny útok na aktívne adresáre a mali by ste sa ho obávať, ak ste správcom domény alebo operátorom modrého tímu. Neexistuje žiadna predvolená konfigurácia domény na zistenie tohto útoku. Väčšina z toho sa deje offline. Ak ste sa toho stali obeťou, s najväčšou pravdepodobnosťou to budete vedieť neskôr.
Svoju expozíciu môžete znížiť tým, že zabezpečíte, aby každý vo vašej sieti používal dlhé heslá zložené z náhodných alfanumerických znakov a symbolov. Okrem toho by ste mali používať pokročilé šifrovanie a nastaviť upozornenia na neobvyklé požiadavky používateľov domény. Budete sa tiež musieť chrániť pred sociálnym inžinierstvom, aby ste predišli narušeniam bezpečnosti, ktoré v prvom rade spúšťajú Kerberoating.
