Ataques de kerberoasting: cómo proteger tu Active Directory

La cuenta de administrador del dominio es el santo grial de las cuentas con privilegios en un entorno de Microsoft Active Directory. Si un atacante consigue comprometer una cuenta de administrador del dominio, tendrá acceso prácticamente a todo el entorno. El kerberoasting es una técnica que los atacantes pueden usar para escalar privilegios dentro de Active Directory.

A continuación, explicamos qué es el kerberoasting, por qué Active Directory es vulnerable y cómo prevenir este tipo de ataques.

Qué es Kerberos

Para entender el kerberoasting, primero debemos entender Kerberos. Kerberos es el protocolo de autenticación que se utiliza en Active Directory de Microsoft. Su función es verificar la identidad de un usuario o equipo que solicita acceso a recursos del dominio. Los clientes reciben un token especial, denominado ticket, generado por el Kerberos Key Distribution Center (KDC) de Active Directory.

El Ticket Granting Ticket (TGT) de Active Directory es el mecanismo que concede permisos para solicitar un Ticket Granting Service (TGS). El ticket TGS se utiliza posteriormente para acceder a recursos en el dominio, como servidores de archivos.

Qué es el kerberoasting

El kerberoasting es un ataque de elevación de privilegios que aprovecha el protocolo de autenticación Kerberos en Active Directory y el mecanismo de concesión de tickets descrito antes. Un atacante puede utilizar una cuenta de usuario estándar de Windows para obtener el hash de la contraseña de una cuenta con privilegios.

Considerada una técnica de post-explotación, el objetivo del kerberoasting es obtener el hash de la contraseña de una cuenta de Active Directory con un Service Principal Name (SPN). Un SPN vincula un servicio Kerberos a una cuenta de usuario dentro de Active Directory. El atacante solicita un ticket Kerberos para un SPN y el ticket devuelto se cifra con el hash de la contraseña de la cuenta asociada. Posteriormente, el atacante trabaja fuera de línea para intentar descifrar el hash y, si lo logra, toma el control de la cuenta y de los privilegios vinculados.

Este tipo de ataques es difícil de detectar porque no depende de malware, lo que significa que no es detectado por soluciones antivirus tradicionales. El kerberoasting resulta especialmente difícil de detectar para soluciones que no analizan el comportamiento de usuarios legítimos.

Qué es una cuenta de servicio de Active Directory 

La mayoría de organizaciones utilizan cuentas de servicio para ejecutar servicios de Windows en servidores dentro de un dominio Active Directory. Normalmente, estas cuentas no son utilizadas por usuarios finales. En su lugar, los administradores crean una cuenta de usuario en Active Directory, configuran la contraseña para que no caduque y asignan la contraseña al servicio correspondiente.

Como puedes ver a continuación, en la consola de Servicios aparece la cuenta de servicio asignada a un servicio de Windows.

Si haces doble clic sobre un servicio, verás los detalles de la cuenta de servicio asociada.

Las cuentas de servicio pueden suponer un riesgo, ya que suelen contar con permisos elevados en un servidor o incluso permisos de administrador del dominio. Además, suelen estar poco monitorizadas y en muchos casos están configuradas con contraseñas débiles y fácilmente vulnerables, que pueden descifrarse rápidamente utilizando las herramientas mencionadas anteriormente.

Cómo funciona el kerberoasting

Para ejecutar un ataque de kerberoasting, el atacante debe estar conectado a la red corporativa donde reside Active Directory, con capacidad de comunicarse directamente con un controlador de dominio (line of sight). En primer lugar, el atacante explota credenciales débiles para obtener acceso a una cuenta de usuario estándar y, desde ahí, utiliza la técnica de kerberoasting para comprometer un ticket Kerberos legítimo.

Para que este ataque funcione, el atacante ya debe tener acceso a una cuenta de usuario estándar. Cualquier cuenta del dominio puede solicitar tickets al TGS, por lo que cualquier cuenta válida sirve.

¿Cómo consigue un atacante acceso a una cuenta válida? Las técnicas habituales incluyen:

• Ataques de phishing 
• Malware 
• Initial access brokers (intermediarios de acceso inicial) 
• Ingeniería social 

Una vez dentro de la red, el atacante puede solicitar un ticket de servicio Kerberos al TGS de Active Directory. Existen muchas herramientas gratuitas y de código abierto que facilitan este proceso. Ejemplos: Rubeus (de GhostPack) o GetUserSPNs.py (de SecureAuth Corporation). Muchas de ellas están incluidas en Kali Linux, una distribución Debian diseñada para pruebas de penetración.

Al ejecutar estos scripts contra Active Directory, la herramienta busca todas las cuentas de usuario con SPN en el dominio y solicita sus tickets válidos al controlador de dominio. El ticket devuelto está cifrado con un hash NTLM.

El atacante captura dicho ticket y lo utiliza fuera de línea con herramientas como Hashcat o John the Ripper, empleando rainbow tables o técnicas de fuerza bruta para intentar descifrar la contraseña de la cuenta asociada al ticket Kerberos.

Cómo el kerberoasting evade el antivirus y la monitorización de red

Una de las razones por las que el kerberoasting es tan popular entre los atacantes es que gran parte del ataque se realiza fuera de línea. No utiliza malware que un antivirus pueda bloquear, y una vez obtenido el hash del ticket Kerberos, no genera tráfico de red anómalo ni intentos de inicio de sesión sospechosos. A partir de ese momento, el atacante puede trabajar completamente fuera de línea hasta descifrar la contraseña.

Cómo pueden las organizaciones protegerse frente a ataques de kerberoasting

Protegerse del kerberoasting puede resultar complicado, ya que se basa en funcionalidades legítimas de Kerberos y del servicio de concesión de tickets. No obstante, hay varias buenas prácticas que pueden reforzar las contraseñas y mejorar la seguridad de las cuentas de servicio:

• Sigue el principio de mínimo privilegio y concede permisos administrativos solo cuando sea realmente necesario. Las cuentas de servicio suelen tener permisos elevados, muchas veces sin necesidad.
• Audita periódicamente las contraseñas de todas las cuentas del dominio, incluidas las cuentas de servicio. Las contraseñas débiles deben identificarse y corregirse rápidamente.
• Utiliza herramientas de terceros. Realizar auditorías eficaces de contraseñas en Active Directory es complejo sin herramientas específicas. Los scripts desarrollados internamente no suelen ser suficientes para una auditoría exhaustiva.

Cómo puede ayudarte Specops Password Auditor 

Specops Password Auditor ofrece una herramienta automatizada y gratuita para analizar tu entorno Active Directory y encontrar contraseñas débiles, reutilizadas o filtradas. Simplifica enormemente el proceso al verificar las contraseñas de las cuentas de usuario frente a una lista de contraseñas vulnerables obtenida de múltiples brechas de datos.

La herramienta también ofrece información muy útil, como una visión completa de las cuentas de administrador dentro del dominio, incluidas cuentas de administrador y de usuario obsoletas o inactivas. Estas capacidades ayudan a los administradores a auditar las cuentas de servicio y obtener visibilidad sobre aquellas que tienen permisos de administrador. Specops Password Auditor proporciona una visión completa de las cuentas obsoletas de tu organización, que a menudo son un punto de partida para ataques de kerberoasting. Además, permite identificar todas las cuentas delegables y marcarlas como “sensibles y no delegables”.

Asimismo, genera informes comparativos entre la configuración de contraseñas de tu organización y estándares de cumplimiento como NIST, PCI, HiTrust, entre otros.