Active Directory (AD) è un servizio di directory sviluppato da Microsoft che gestisce l'autenticazione e l'autorizzazione degli utenti all'interno di una rete aziendale. Funziona come una sorta di "controllore" centrale che permette agli amministratori di gestire l'accesso a risorse come file, applicazioni e dispositivi, garantendo che solo le persone autorizzate possano accedere a ciò che serve loro.
È considerato un baluardo di sicurezza perché offre strumenti avanzati per la gestione delle identità e dei permessi, proteggendo i dati sensibili e le infrastrutture critiche. Proprio per la sua importanza, AD è spesso il bersaglio principale degli attacchi informatici, rendendo cruciale la sua protezione, ma finora non è stato mai violato significativamente... finora appunto. Da qualche tempo un determinato tipo di aggressione sta mettendo in crisi la proverbiale sicurezza di AD, stiamo parlando del Kerberoasting
Questo tipo di attacco infatti prende di mira proprio Active Directory, il sistema di autenticazione e autorizzazione più diffuso nelle infrastrutture IT aziendali. Capire come funziona e come difendersi è fondamentale per proteggere i dati sensibili e garantire la sicurezza informatica.
Cos'è il Kerberoasting?
Si tratta di una tecnica che sfrutta il protocollo di autenticazione Kerberos, utilizzato da Active Directory per gestire l'accesso degli utenti ai servizi di rete. In pratica, gli aggressori cercano di ottenere i ticket di servizio (TGS) associati agli account di servizio configurati con uno SPN (Service Principal Name). Questi ticket sono crittografati con l'hash della password dell'account di servizio. Una volta ottenuti, gli aggressori possono tentare di decifrare l'hash per risalire alla password in chiaro, ottenendo così accesso non autorizzato ai servizi di rete.
Come funziona l'attacco?
Ecco una panoramica sintetica dei passaggi che un aggressore potrebbe seguire per condurre un attacco Kerberoasting:
-
Enumerazione degli account con SPN: L'aggressore identifica gli account di servizio che hanno un SPN associato.
-
Richiesta dei ticket TGS: Per ciascuno di questi account, l'aggressore richiede un ticket TGS al Domain Controller.
-
Estrazione degli hash: I ticket TGS ottenuti sono crittografati con l'hash della password dell'account di servizio. L'aggressore estrae questi hash.
-
Tentativo di cracking: Utilizzando tecniche di forza bruta o dizionari, l'aggressore cerca di decifrare gli hash per ottenere le password in chiaro.
Se l'attacco ha successo, l'aggressore può utilizzare le credenziali ottenute per accedere ai servizi di rete con i privilegi dell'account compromesso, potenzialmente estendendo il proprio accesso all'intera rete.
Come difendersi dal Kerberoasting?
Per proteggersi da questo tipo di attacco, è importante adottare le seguenti misure:
-
Utilizzare account di servizio gestiti (gMSA): I gMSA offrono una gestione automatica delle password e una maggiore sicurezza. Le loro password sono lunghe 120 caratteri e vengono ruotate automaticamente, rendendo molto difficile il cracking.
-
Impostare password complesse e lunghe: Se l'uso dei gMSA non è possibile, assicurarsi che gli account di servizio abbiano password uniche, complesse e lunghe almeno 30 caratteri.
-
Limitare i privilegi degli account di servizio: Assegnare agli account di servizio solo i privilegi strettamente necessari e assicurarsi che non siano membri di gruppi con privilegi elevati, come "Domain Admins".
-
Monitorare le richieste di ticket TGS: Implementare un sistema di monitoraggio per rilevare attività sospette, come richieste multiple di ticket TGS in un breve intervallo di tempo.
-
Aggiornare e patchare regolarmente: Mantenere aggiornati i sistemi e applicare le patch di sicurezza rilasciate da Microsoft per correggere eventuali vulnerabilità note.
- Upgradare i server: alcuni windows server non ricevono più aggiornamenti, sono a rischio e vanno aggiornati o sostituiti.
Adottando queste misure, è possibile ridurre significativamente il rischio di subire un attacco Kerberoasting e proteggere l'integrità della propria rete aziendale. La sicurezza informatica è una responsabilità condivisa e richiede un impegno costante per mantenere al sicuro i nostri dati e sistemi
