Neste artigo vou explicar como funciona o ataque Kerberoasting num ambiente com Windows Server 2012 e como mitigar este ataque. Kerberos é o protocolo responsável por gerir a autenticação num ambiente com Active Directory, esta fora do escopo deste artigo explicar como funciona o Kerberos.
Kerberoasting
Kerberoasting é o nome dado uma tecnica maliciosa que abusa das capacidades do sistema de autenticação Kerberos em ambientes Windows. Para este ataque ser possivel o atacante necessita já ter conseguido obter credenciais de acesso ao ambiente mesmo com baixos privilegios.
Tipos de contas em ambientes Windows
Conta de utilizador vs Conta de serviço
Logica do Ataque
- Atacante ganha acesso ao ambiente AD com utilizador com poucos privilegios;
- Atacante enumera as contas do ambiente com SPNs associados;
- Atacante invoca uma requisição TGS ao Kerberos AS impresionando o user;
- Atacante captura NTLM Hash do serviço na resposta ao TGS;
- Atacante cracka o NTLM Hash offline;
- Atacante autêntica no ambiente usando uma conta de serviço.