15/10/24
С развитием кибератак растут и риски для систем, использующих Active Directory (AD). Одной из серьёзных уязвимостей остаётся Kerberoasting — атака, направленная на протокол Kerberos, позволяющая злоумышленникам похищать учётные данные и получать привилегированный доступ к сервисным аккаунтам в сети. Учитывая, что современные методы взлома паролей, такие как использование GPU, значительно ускоряют процесс подбора, эта угроза требует повышенного внимания со стороны администраторов, пишет Securitylab.
Kerberoasting базируется на получении злоумышленником зашифрованного сервисного билета AD, который затем взламывается методом брутфорс. Главная цель атаки — аккаунты, к которым привязаны Service Principal Names (SPN), что позволяет хакерам запросить билеты на эти аккаунты и попытаться подобрать пароль. Таким образом, при успешной атаке злоумышленник может получить более высокие привилегии в системе и перемещаться по сети.
Наибольший риск представляют учётные записи с простыми паролями и устаревшими алгоритмами шифрования, такими как RC4, который остаётся включённым по умолчанию, несмотря на известные уязвимости. RC4 не использует соль при преобразовании пароля в ключ, что облегчает подбор паролей. Однако и другие алгоритмы уязвимы, если используются слабые пароли. Ожидается, что в будущем RC4 будет отключён по умолчанию в Windows 11 и Windows Server 2025.
Администраторам рекомендуется следить за подозрительными запросами сервисных билетов и попытками понизить уровень шифрования до RC4. Такие события можно отследить с помощью Microsoft Defender. Также важно выявлять повторяющиеся запросы билетов на уязвимые аккаунты, что может быть признаком атаки.
Чтобы снизить риск успешного Kerberoasting, Microsoft советует использовать групповые управляемые сервисные аккаунты (gMSA) или делегированные управляемые сервисные аккаунты (dMSA), которые автоматически управляют паролями и сложнее поддаются атаке. Если эти решения невозможны, рекомендуется устанавливать длинные, случайно сгенерированные пароли для сервисных аккаунтов и следить за тем, чтобы все учётные записи использовали шифрование AES.
