viernes, 9 de agosto de 2019

Resumiendo Kerberos - Ataques


En el anterior post se habló de manera resumida del protocolo Kerberos, y de los posibles ataques en función del paso donde nos encontráramos en los procesos de autenticación. Hoy se quiere profundizar un poco en esos ataques, eso sí de manera teórica.

Al final del post se mencionará un enlace hacía otro post, en donde al igual que aquí se habla de los ataques a Kerberos pero además se exponen herramientas y ejemplos.

Los ataques sobre el protocolo Kerberos son:

Overpass-the-Hash (OtH)/Pass-the-Key (PtK)

Como se comentó en el post anterior, este ataque se puede producir en el paso 1.1 (Validarse dentro de un dominio / Petición de autenticación entre el usuario y el controlador de dominio).

Este ataque consiste en enviar un hash NT local de un usuario del dominio al KDC (Key Domain Controller) con la intención de obtener un ticket TGT. A partir de ahí, ya podremos acceder a los recursos/servicio para los cuales el susodicho usuario del sistema, por el que nos hayamos hecho pasar, tuviera permisos.

Para conseguir el hash NT local tendremos que mirar los ficheros SAM de las estaciones de trabajo, el fichero NTDS.DIT ubicado en los DC (Domain Controller – Controladores de dominio), o la memoria del proceso Lsass (la famosa herramienta Mimikatz en basa en extraer los hashes de la memoria )

IMPORTANTE: Cuando un usuario normal se quiere validar en el dominio, entre la información que envía se encuentra un “timestamp”. Si dicho “timestamp” supera los 5 minutos de diferencia respecto del tiempo que tiene el servidor KDC, éste no enviará el ticket TGT al usuario, es decir, no se habrá validado correctamente.

Pass-the-Ticket (PtT)

Como se comentó en el post anterior, este ataque se puede producir en el paso 2.1 (Validarse contra un servicio/recurso interno del dominio / Solicitud del ticket TGS al controlador de dominio)

Este ataque consiste en, secuestrado un ticket TGT o TGS de un usuario, enviarlo para obtener en el primer caso, un ticket TGS o, en el segundo caso, acceso a un recurso o servicio.

IMPORTANTE:
1.- En este ataque no sólo es necesario tener el ticket, si que también es necesario obtener la clave de sesión TGT otorgada por el KDC, como la clave de sesión del servicio.
En cualquier caso, las claves de sesión se pueden encontrar en la memoria del sistema.

2.- Los tickets, por defecto, tienen una vida de 10 horas.

Para conseguir el ticket tendremos que mirar la memoria del proceso Lsass (la famosa herramienta Mimikatz puede ayudarnos)

Golden ticket

Como se comentó en el post anterior, este ataque se puede producir en el paso 1.2 (Validarse dentro de un dominio / Respuesta del controlador de dominio siempre y cuando la autenticación sea SATISFACTORIA), o en el paso 2.1 (Validarse contra un servicio/recurso interno del dominio / Solicitud del ticket TGS al controlador de dominio)

Este ataque se lleva a cabo tras extraer el hash NTLM de la cuenta: krbtgt, lo cual permite generar los tickets TGT que se desee. Es decir, se podrá tener el control del dominio.

Para conseguir el ticket tendremos que mirar la memoria del proceso Lsass (la famosa herramienta Mimikatz puede ayudarnos) o del fichero NTDIS.dit de cualquier controlador de dominio.

Silver ticket

Este ataque se lleva a cabo tras extraer el hash NTLM de la cuenta del propietario de un servicio, y permite generar los tickets TGS que se desee. Es decir, se podrá tener el control del servicio/recurso compartido.

ASREPRoast

Este ataque consiste en buscar usuarios que no requieren pre-autenticación de kerberos, por lo que cualquier usuario puede enviar un paquete AS_REP para solicitar un ticket TGT en su nombre.

Kerberoasting

Es una técnica que busca crackear las contraseñas débiles contenidas en los tickets TGT o TGS.

Los tickets TGT o TGS que pueden contener contraseñas débiles son los de los usuarios del dominio, ya que cualquier otra contraseña suelen contener 128 caracteres debido a que son generadas por un sistema.


NOTA FINAL: Hasta aquí los ataques sobre el protocolo Kerberos, y como lo prometido es deuda os paso el enlace comentado al principio: https://www.tarlogic.com/blog/como-atacar-kerberos/)

Por cierto, felicitar al autor del post por un trabajo excepcional

En cualquier caso …

Lo que hagas con la información es cosa tuya, no mía ... pero ten conciencia.

No hay comentarios:

Publicar un comentario