Fondamentalmente, Kerberos è un protocollo progettato per garantire l'autenticazione sicura sia per gli utenti che per i dispositivi all'interno di un ambiente di rete. La particolarità di Kerberos risiede nell'utilizzo di ticket crittografati.
Questi facilitano l'autenticazione e allo stesso tempo evitano la trasmissione di password in rete. Sono codificati con una chiave riservata che viene scambiata esclusivamente tra l'utente e il server di autenticazione. Kerberoasting è una forma specifica di attacco che si concentra sul protocollo di autenticazione Kerberos, che è un componente chiave dei sistemi Microsoft Active Directory. Il punto cruciale di un attacco Kerberoasting è ottenere l'accesso ai ticket crittografati dal dominio della rete. Ciò avviene sfruttando le vulnerabilità del protocollo Kerberos o intercettando il traffico su una rete non protetta. Una volta che l'aggressore ottiene i ticket crittografati, tenta di decifrare la password crittografata, spesso utilizzando tecniche di forza bruta.
Gli attacchi Kerberoasting sono così difficili da combattere perché si verificano senza alcun avviso o attività evidente all'interno della rete. Forniscono l'accesso iniziale a un ambiente, quindi l'aggressore può decrittografare le informazioni offline. Per ottenere ticket crittografati, l'aggressore non ha bisogno di compromettere alcun endpoint. Nel 2023 gli attacchi Kerberoasting continueranno a funzionare come prima. L’evoluzione del panorama delle minacce ha portato a nuove strategie e tecniche per aumentare l’impatto degli attacchi. Tuttavia, i meccanismi principali degli attacchi rimangono sostanzialmente gli stessi.
Automazione degli attacchi
Un cambiamento recente degno di nota è l’uso di strumenti basati su cloud per eseguire attacchi Kerberoasting. La maggior parte delle aziende oggi lavora con reti basate su cloud e questo vale anche per gli hacker. Questi strumenti semplificano il processo ed eliminano la necessità di conoscenze o competenze specializzate sfruttando la potenza del cloud. La tendenza all’automazione diventa sempre più evidente tra gli aggressori che sferrano attacchi Kerberoasting. Questo approccio automatizzato consente loro di attaccare un gran numero di account in modo rapido ed efficiente.
Gli attacchi Kerberoasting sono spesso collegati ad altre strategie di attacco che sfruttano la protezione con password deboli. Una protezione efficace tramite password è quindi fondamentale per proteggere un'azienda dagli attacchi Kerberoasting. Ciò può essere ulteriormente ampliato integrando l’autenticazione a più fattori (MFA). Anche se un utente malintenzionato riesce a ottenere una password, l'MFA rende notevolmente più difficile l'accesso. Le soluzioni di rilevamento e risposta degli endpoint forniscono inoltre una solida difesa contro gli attacchi Kerberoasting. Questi possono rilevare attività sospette, come un improvviso aumento di tentativi di accesso non riusciti o tentativi di estrarre ticket Kerberos. Ciò consente agli utenti di rilevare tempestivamente attività dannose e agire per prevenire la perdita di dati riservati. (Chris Vaughan, VP Technical Account Management presso Tanium)
Altro su Tanium.com
A proposito di Tanio Tanium, l'unico fornitore di Converged Endpoint Management (XEM) del settore, sta guidando il cambio di paradigma negli approcci tradizionali alla gestione di ambienti tecnologici e di sicurezza complessi. Solo Tanium protegge ogni team, endpoint e flusso di lavoro dalle minacce informatiche integrando IT, conformità, sicurezza e rischio in un'unica piattaforma. La piattaforma Tanium offre una visibilità completa su tutti i dispositivi, un insieme unificato di controlli e una tassonomia comune.