En el anterior
post se habló de manera resumida del protocolo Kerberos, y de los posibles
ataques en función del paso donde nos encontráramos en los procesos de
autenticación. Hoy se quiere profundizar un poco en esos ataques, eso sí de manera teórica.
Al final del post se mencionará un enlace hacía otro
post, en donde al igual que aquí se habla de los ataques a Kerberos pero además
se exponen herramientas y ejemplos.
Los ataques sobre el protocolo Kerberos son:
Overpass-the-Hash
(OtH)/Pass-the-Key (PtK)
Como se comentó en el post anterior, este ataque se
puede producir en el paso 1.1 (Validarse
dentro de un dominio / Petición de autenticación entre el usuario y el controlador de dominio).
Este ataque
consiste en enviar un hash NT local de un usuario del dominio al KDC (Key
Domain Controller) con la intención de obtener un ticket TGT. A partir de
ahí, ya podremos acceder a los recursos/servicio para los cuales el susodicho
usuario del sistema, por el que nos hayamos hecho pasar, tuviera permisos.
Para conseguir el hash NT local tendremos que mirar
los ficheros SAM de las estaciones de trabajo, el fichero NTDS.DIT ubicado en
los DC (Domain Controller – Controladores de dominio), o la memoria del proceso
Lsass (la famosa herramienta Mimikatz en basa en extraer los hashes de la
memoria )
IMPORTANTE:
Cuando un usuario normal se quiere validar en el dominio, entre la información
que envía se encuentra un “timestamp”.
Si dicho “timestamp” supera los 5
minutos de diferencia respecto del tiempo que tiene el servidor KDC, éste no
enviará el ticket TGT al usuario, es decir, no se habrá validado correctamente.
Pass-the-Ticket (PtT)
Como se comentó en el post anterior, este ataque se
puede producir en el paso 2.1 (Validarse
contra un servicio/recurso interno del dominio / Solicitud del ticket TGS al controlador de
dominio)
Este ataque
consiste en, secuestrado un ticket TGT o TGS de un usuario, enviarlo para
obtener en el primer caso, un ticket TGS o, en el segundo caso, acceso a un
recurso o servicio.
IMPORTANTE:
1.-
En este ataque no sólo es necesario tener el ticket, si que también es
necesario obtener la clave de sesión TGT otorgada por el KDC, como la clave de
sesión del servicio.
En
cualquier caso, las claves de sesión se pueden encontrar en la memoria del
sistema.
2.-
Los tickets, por defecto, tienen una vida de 10 horas.
Para conseguir el ticket tendremos que mirar la
memoria del proceso
Lsass (la famosa herramienta Mimikatz puede ayudarnos)
Golden
ticket
Como se comentó en el post anterior, este ataque se
puede producir en el paso 1.2 (Validarse
dentro de un dominio / Respuesta del controlador de dominio siempre y cuando la
autenticación sea SATISFACTORIA), o en el paso 2.1 (Validarse
contra un servicio/recurso interno del dominio / Solicitud del ticket TGS al controlador de
dominio)
Este ataque
se lleva a cabo tras extraer el hash NTLM de la cuenta: krbtgt, lo cual permite
generar los tickets TGT que se desee. Es decir, se podrá tener el control del
dominio.
Para conseguir el ticket tendremos que mirar la
memoria del proceso
Lsass (la famosa herramienta Mimikatz puede ayudarnos) o del fichero
NTDIS.dit de cualquier controlador de dominio.
Silver ticket
Este ataque
se lleva a cabo tras extraer el hash NTLM de la cuenta del propietario de un
servicio, y permite generar los tickets TGS que se desee. Es decir, se podrá
tener el control del servicio/recurso compartido.
ASREPRoast
Este ataque
consiste en buscar usuarios que no requieren pre-autenticación de kerberos, por
lo que cualquier usuario puede enviar un paquete AS_REP para solicitar un
ticket TGT en su nombre.
Kerberoasting
Es una
técnica que busca crackear las contraseñas débiles contenidas en los tickets
TGT o TGS.
Los tickets TGT o TGS que pueden contener
contraseñas débiles son los de los usuarios del dominio, ya que cualquier otra
contraseña suelen contener 128 caracteres debido a que son generadas por un
sistema.
NOTA FINAL:
Hasta aquí los ataques sobre el protocolo Kerberos, y como lo prometido es
deuda os paso el enlace comentado al principio: https://www.tarlogic.com/blog/como-atacar-kerberos/)
Por cierto, felicitar al autor del post por un
trabajo excepcional
En cualquier caso …
Lo que hagas con la información es cosa tuya, no
mía ... pero ten conciencia.
