Was ist Kerberoasting und sollten Sie sich darüber Sorgen machen?

Kerberos-Tickets machen das Internet sicherer, indem sie Computern und Servern in einem Netzwerk die Möglichkeit bieten, Daten weiterzugeben, ohne bei jedem Schritt ihre Identität überprüfen zu müssen. Diese Rolle als einmaliger, wenn auch temporärer Authentifikator macht die Kerberos-Tickets jedoch attraktiv für Angreifer, die ihre Verschlüsselung knacken können.

Was sind Kerberos-Tickets?

Wenn Ihnen „Kerberos“ bekannt vorkommt, haben Sie Recht. Es ist der griechische Name des Hundes von Hades (auch bekannt als „Cerberus“). Aber Kerberos ist kein Schoßhündchen; Es hat mehrere Köpfe und bewacht die Tore der Unterwelt. Kerberos verhindert, dass die Toten gehen, und verhindert, dass verstörte Charaktere ihre Liebsten aus dem düsteren Jenseits befreien. Auf diese Weise können Sie sich den Hund als Authentifikator vorstellen, der unbefugten Zugriff verhindert.

Kerberos ist ein Netzwerkauthentifizierungsprotokoll, das kryptografische Schlüssel zur Überprüfung der Kommunikation zwischen Clients (Personalcomputern) und Servern in Computernetzwerken verwendet. Kerberos wurde vom Massachusetts Institute of Technology (MIT) entwickelt, um Clients die Möglichkeit zu geben, ihre Identität gegenüber Servern nachzuweisen, wenn sie Datenanfragen stellen. Ebenso verwenden Server Kerberos-Tickets, um zu beweisen, dass die gesendeten Daten authentisch sind, von der beabsichtigten Quelle stammen und nicht beschädigt wurden.

Bei Kerberos-Tickets handelt es sich im Wesentlichen um Zertifikate, die von einem vertrauenswürdigen Dritten (einem so genannten Key Distribution Center – kurz KDC) an Clients ausgestellt werden. Clients legen dieses Zertifikat zusammen mit einem eindeutigen Sitzungsschlüssel einem Server vor, wenn dieser eine Datenanforderung initiiert. Durch die Vorlage und Authentifizierung des Tickets wird Vertrauen zwischen Client und Server hergestellt, sodass nicht jede einzelne Anfrage oder jeder einzelne Befehl überprüft werden muss.

Wie funktionieren Kerberos-Tickets?

Kerberos-Tickets authentifizieren den Benutzerzugriff auf Dienste. Sie helfen Servern auch dabei, den Zugriff zu unterteilen, wenn mehrere Benutzer auf denselben Dienst zugreifen. Auf diese Weise gelangen Anfragen nicht ineinander und Unbefugte können nicht auf Daten zugreifen, die auf privilegierte Benutzer beschränkt sind.

Zum Beispiel, Microsoft verwendet Kerberos Authentifizierungsprotokoll, wenn Benutzer auf Windows-Server oder PC-Betriebssysteme zugreifen. Wenn Sie sich also nach dem Booten bei Ihrem Computer anmelden, verwendet das Betriebssystem Kerberos-Tickets, um Ihren Fingerabdruck oder Ihr Passwort zu authentifizieren.

Ihr Computer speichert das Ticket vorübergehend im Prozessspeicher des Local Security Authority Subsystem Service (LSASS) für diese Sitzung. Von da an verwendet das Betriebssystem das zwischengespeicherte Ticket für Single-Sign-On-Authentifizierungen, sodass Sie Ihre biometrischen Daten oder Ihr Passwort nicht jedes Mal angeben müssen, wenn Sie etwas tun müssen, für das Administratorrechte erforderlich sind.

In größerem Umfang werden Kerberos-Tickets zur Absicherung der Netzwerkkommunikation im Internet eingesetzt. Dazu gehören Dinge wie HTTPS-Verschlüsselung und die Überprüfung von Benutzername und Passwort bei der Anmeldung. Ohne Kerberos wäre die Netzwerkkommunikation anfällig für Angriffe wie Cross-Site-Request-Forgery (CSRF) und Man-in-the-Middle-Hacks.

Was genau ist Kerberoasting?

Kerberoasting ist eine Angriffsmethode, bei der Cyberkriminelle Kerberos-Tickets von Servern stehlen und versuchen, Klartext-Passwort-Hashes zu extrahieren. Im Kern handelt es sich bei diesem Angriff um Social Engineering. Diebstahl von Anmeldedatenund Brute-Force-Angriff, alles in einem. Im ersten und zweiten Schritt gibt sich der Angreifer als Client aus und fordert Kerberos-Tickets von einem Server an.

Selbstverständlich ist das Ticket verschlüsselt. Dennoch löst der Erhalt des Tickets eine von zwei Herausforderungen für den Hacker. Sobald sie das Kerberos-Ticket vom Server haben, besteht die nächste Herausforderung darin, es mit allen erforderlichen Mitteln zu entschlüsseln. Hacker, die im Besitz von Kerberos-Tickets sind, werden große Anstrengungen unternehmen, um diese Datei zu knacken, da sie so wertvoll ist.

Wie funktionieren Kerberoasting-Angriffe?

Kerberoasting nutzt zwei häufige Sicherheitsfehler in aktiven Verzeichnissen aus: die Verwendung kurzer, schwacher Passwörter und die Sicherung von Dateien mit schwacher Verschlüsselung. Der Angriff beginnt damit, dass ein Hacker ein Benutzerkonto verwendet, um ein Kerberos-Ticket von einem KDC anzufordern.

Das KDC stellt dann wie erwartet ein verschlüsseltes Ticket aus. Anstatt dieses Ticket zur Authentifizierung bei einem Server zu verwenden, nimmt der Hacker es offline und versucht, das Ticket mit Brute-Force-Techniken zu knacken. Die hierfür verwendeten Tools sind kostenlos und Open-Source, wie zum Beispiel mimikatz, Hashcat und JohnTheRipper. Der Angriff kann auch mit Tools wie invoke-kerberoast und Rubeus automatisiert werden.

Bei einem erfolgreichen Kerberoasting-Angriff werden Klartext-Passwörter aus dem Ticket extrahiert. Der Angreifer kann dies dann nutzen, um Anfragen eines kompromittierten Benutzerkontos an einen Server zu authentifizieren. Schlimmer noch: Der Angreifer kann den neu gewonnenen, unbefugten Zugriff ausnutzen, um Daten zu stehlen. seitlich im Active Directory verschiebenund richten Sie Dummy-Konten mit Administratorrechten ein.

Sollten Sie sich über Kerberoasting Sorgen machen?

Kerberoasting ist ein beliebter Angriff auf aktive Verzeichnisse, und Sie sollten sich darüber Sorgen machen, wenn Sie Domänenadministrator oder Blue-Team-Betreiber sind. Es gibt keine Standarddomänenkonfiguration, um diesen Angriff zu erkennen. Das meiste passiert offline. Wenn Sie Opfer davon geworden sind, werden Sie es höchstwahrscheinlich im Nachhinein erfahren.

Sie können Ihre Gefährdung reduzieren, indem Sie sicherstellen, dass jeder in Ihrem Netzwerk lange Passwörter verwendet, die aus zufälligen alphanumerischen Zeichen und Symbolen bestehen. Darüber hinaus sollten Sie eine erweiterte Verschlüsselung verwenden und Benachrichtigungen für ungewöhnliche Anfragen von Domänenbenutzern einrichten. Sie müssen sich auch vor Social Engineering schützen, um Sicherheitsverletzungen zu verhindern, die Kerberoating überhaupt erst auslösen.