Comptes privilégiés utilisant des services Kerberos

En 2014, une nouvelle attaque ciblant les comptes privilégiés du domaine a été publiée. Cette attaque, dénommée Kerberoast, exploite les mécanismes internes du protocole d'authentification Kerberos. L'objectif de cette attaque est de découvrir le mot de passe en clair d'un compte et d'obtenir ainsi les droits associés. Cette attaque peut être réalisée depuis l'intérieur d'un environnement Active Directory. Le seul prérequis pour un attaquant est de disposer d'un compte non privilégié.
Dans le cas où un attribut Active Directory spécifique (le Service Principal Name) est défini sur un compte, la sécurité sous-jacente de ce compte est affectée. Cette attaque repose sur le fait que le mot de passe de ce compte peut être découvert. De manière générale, la stratégie relative aux mots de passe est configurée de telle façon à verrouiller un compte après plusieurs échecs d'authentification successifs. Cependant, pour cette attaque, aucun mécanisme de sécurité installé sur le domaine ne permet de se prémunir contre des attaques exhaustives sur les mots de passe.
Les comptes privilégiés sont généralement ciblés, comme les membres du groupe des administrateurs du domaine. Le contrôle de ces comptes peut mener rapidement à une compromission totale du domaine. C'est pourquoi ils doivent être protégés contre cette menace relative à la configuration Kerberos.
L'IOA "Kerberoasting" est fourni pour alerter dans le cas où un attaquant tenterait d'exploiter cette vulnérabilité, ce qui n'exclut pas la correction de ce problème en premier lieu.

Les comptes privilégiés ne devraient pas posséder de Service Principal Name.

Nom: Comptes privilégiés utilisant des services Kerberos

Nom de code: C-PRIV-ACCOUNTS-SPN

Niveau de gravité: Critical