Comptes privilégiés utilisant des services Kerberos

critical

Description

En 2014, une nouvelle attaque ciblant les comptes privilégiés du domaine a été publiée. Cette attaque, dénommée Kerberoast, exploite les mécanismes internes du protocole d'authentification Kerberos. L'objectif de cette attaque est de découvrir le mot de passe en clair d'un compte et d'obtenir ainsi les droits associés.
Cette attaque peut être réalisée depuis l'intérieur d'un environnement Active Directory à l'aide d'un simple compte non privilégié. Dans le cas où un attribut Active Directory spécifique (le servicePrincipalName) est défini sur un compte, la sécurité sous-jacente de ce compte est affectée. Cette attaque repose sur le fait que le mot de passe de ce compte peut être découvert, or les mécanismes de sécurité traditionnels qui verrouillent un compte après plusieurs échecs d'authentification successifs ne permettent pas de se prémunir contre des attaques exhaustives sur les mots de passe.
Les comptes très privilégiés sont généralement ciblés comme les membres du groupe des Admins du domaine. Le contrôle de ces comptes peut mener rapidement à une compromission totale du domaine. C'est pourquoi ils doivent être protégés contre cette menace relative à la configuration Kerberos.
L'indicateur d'attaque Kerberoasting peut alerter le personnel de sécurité dans le cas où un attaquant tenterait d'exploiter cette vulnérabilité. Toutefois, cela n'exclut pas la correction de ce problème sous-jacent afin de sécuriser les comptes très privilégiés, car le contrôle de ces derniers peut mener rapidement à une compromission totale du domaine.

Solution

Les comptes privilégiés ne devraient pas posséder de Service Principal Name.

Voir aussi

MITRE ATT&CK - Steal or Forge Kerberos Tickets: Kerberoasting

Secrets d'authentification épisode II - Kerberos contre-attaque

Kerberos: An Authentication Service for Computer Networks

Sneaky Persistence Active Directory Trick: Dropping SPNs on Admin Accounts for Later Kerberoasting

Détails de l'indicateur

Nom: Comptes privilégiés utilisant des services Kerberos

Nom de code: C-PRIV-ACCOUNTS-SPN

Niveau de gravité: Critical

Informations MITRE ATT&CK:

Tactiques: TA0004

Techniques: T1078

Outils connus des attaquants

Kerberoast

Empire

Impacket

PowerSploit