Charlie Clark, uno dei ricercatori di Semperis, ha dimostrato che è possibile richiedere ticket di servizio (ST) direttamente al servizio di autenticazione (AS), con la possibilità di nuovi percorsi di attacco, aggiramento del rilevamento e potenziale indebolimento dei controlli di sicurezza.
I ticket AS richiesti (AS-REQ) per gli account macchina non sono blindati. L’armatura di Kerberos utilizza un ticket-granting ticket (TGT) per il dispositivo allo scopo di proteggere lo scambio di servizi di autenticazione con il KDC (Key Distribution Center), di conseguenza lo scambio di servizi di autenticazione del computer non è blindato e il TGT dell’utente viene utilizzato per proteggere i suoi scambi di TGS con il KDC.
In un tipico flusso Kerberos, il fatto che venga emessa una chiave di sessione per ogni ticket è una caratteristica importante per questa ricerca. La chiave di sessione viene restituita all’account richiedente all’interno di una sezione crittografata della risposta con la chiave di crittografia che è già nota al richiedente.
La parte del flusso Kerberos su cui si concentra la ricerca è AS-REQ/AS-REP, che di solito viene utilizzata per richiedere un TGT. Con l’applicazione di Kerberos Flexible Authentication Secure Tunneling (FAST), gli account macchina inviavano ancora i loro AS-REQ non blindati.
Il Kerberoasting è un metodo per recuperare la password in chiaro o l’hash NT di un account di servizio, generalmente un account utente con un SPN. Quando si utilizza questo metodo, non è necessario accedere alla chiave di sessione. È necessario solo l’ST risultante o, più precisamente, la parte crittografata dell’ST, che non è protetta dalla chiave dell’account richiedente.
Un elenco di nomi utente può quindi essere generato in diversi modi, tra cui l’enumerazione degli utenti utilizzando sessioni nulle su un DC, la generazione di un elenco di nomi utente utilizzando l’intelligence open-source (OSINT) o indovinando i nomi utente potenziali. Qualsiasi elenco di nomi utente potenziali può essere facilmente verificato inviando un AS-REQ senza pre-autenticazione. Un nome utente valido che richiede la pre-autenticazione riceve un TGT.
Gli AS-REQ senza pre-autenticazione non vengono registrati come evento di Windows, a meno che l’account non richieda la pre-autenticazione. A questo punto avendo a disposizione l’elenco dei nomi utente e il nome utente di un account che non ha richiesto la pre-autenticazione, è possibile lanciare l’attacco. L’output risultante può essere utilizzato per tentare il cracking offline delle password.
Il post completo di Charlie Clark è disponibile qui: https://www.semperis.com/blog/new-attack-paths-as-requested-sts/
