À la base, Kerberos est un protocole conçu pour garantir une authentification sécurisée des utilisateurs et des appareils au sein d'un environnement réseau. La particularité de Kerberos réside dans l'utilisation de tickets cryptés.
Ceux-ci facilitent l'authentification et évitent en même temps la transmission de mots de passe sur le réseau. Ils sont codés avec une clé confidentielle échangée exclusivement entre l'utilisateur et le serveur d'authentification. Kerberoasting est une forme spécifique d'attaque qui se concentre sur le protocole d'authentification Kerberos, qui est un composant clé des systèmes Microsoft Active Directory. Le point crucial d’une attaque Kerberoasting est d’accéder aux tickets cryptés depuis le domaine du réseau. Cela se produit en exploitant les vulnérabilités du protocole Kerberos ou en interceptant le trafic sur un réseau non sécurisé. Une fois que l’attaquant a obtenu les tickets cryptés, il tente de déchiffrer le mot de passe crypté, souvent en utilisant des techniques de force brute.
Les attaques Kerberoasting sont si difficiles à combattre car elles se produisent sans aucun avertissement ni activité notable au sein du réseau. Ils fournissent un premier accès à un environnement, puis l'attaquant peut décrypter les informations hors ligne. Pour obtenir des tickets cryptés, l’attaquant n’a besoin de compromettre aucun point de terminaison. En 2023, les attaques Kerberoasting fonctionneront toujours de la même manière qu’auparavant. L’évolution du paysage des menaces a donné lieu à de nouvelles stratégies et techniques visant à accroître l’impact des attaques. Cependant, les mécanismes fondamentaux des attaques restent essentiellement les mêmes.
Automatisation des attaques
Un changement récent notable est l’utilisation d’outils basés sur le cloud pour mener des attaques Kerberoasting. La plupart des entreprises travaillent aujourd’hui avec des réseaux basés sur le cloud, et cela s’applique également aux pirates informatiques. Ces outils rationalisent le processus et éliminent le besoin de connaissances ou de compétences spécialisées en tirant parti de la puissance du cloud. La tendance à l’automatisation devient de plus en plus évidente parmi les attaquants qui mènent des attaques Kerberoasting. Cette approche automatisée leur permet d'attaquer un grand nombre de comptes rapidement et efficacement.
Les attaques Kerberoasting sont souvent liées à d'autres stratégies d'attaque qui exploitent une protection par mot de passe faible. Une protection solide par mot de passe est donc cruciale pour protéger une entreprise contre les attaques Kerberoasting. Cela peut être encore étendu en intégrant l’authentification multifacteur (MFA). Même si un attaquant parvient à obtenir un mot de passe, la MFA rend l’accès beaucoup plus difficile. Les solutions de détection et de réponse des points de terminaison fournissent également une défense solide contre les attaques Kerberoasting. Ceux-ci peuvent détecter des activités suspectes, telles qu'une augmentation soudaine des tentatives de connexion infructueuses ou des tentatives d'extraction de tickets Kerberos. Cela permet aux utilisateurs de détecter rapidement les activités malveillantes et de prendre des mesures pour éviter la perte de données confidentielles. (Chris Vaughan, vice-président de la gestion des comptes techniques chez Tanium)
Plus sur Tanium.com
À propos de Tanium Tanium, le seul fournisseur de gestion convergente des terminaux (XEM) du secteur, est à l'avant-garde du changement de paradigme dans les approches traditionnelles de gestion des environnements de sécurité et de technologie complexes. Seul Tanium protège chaque équipe, terminal et flux de travail contre les cybermenaces en intégrant l'informatique, la conformité, la sécurité et les risques dans une seule plateforme. La plate-forme Tanium offre une visibilité complète sur tous les appareils, un ensemble unifié de contrôles et une taxonomie commune.