Qu’est-ce qu’une attaque Kerberoasting ?

Le Kerberoasting est de plus en plus courant. Les analystes de la sécurité X-Force d’IBM ont constaté une augmentation de 100 % des incidents de Kerberoasting entre 2022 et 2023, selon le rapport X-Force Threat Intelligence Index. Cette croissance s’inscrit dans une tendance plus générale : des pirates faisant une utilisation abusive de comptes valides pour infiltrer les réseaux. Les améliorations apportées à la sécurité des réseaux et des terminaux ont rendu les attaques directes beaucoup plus difficiles à réussir.

Quelques facteurs supplémentaires contribuent à la popularité du Kerberoasting. De nombreux services d'annuaire et systèmes de cloud computing utilisent Kerberos, ce qui signifie que les pirates peuvent exploiter le protocole pour accéder à l’infrastructure réseau critique.

Kerberos est notamment la norme dans Microsoft Windows Active Directory, et de nombreuses attaques Kerberoasting ciblent les domaines Active Directory. De plus, les comptes de service créés manuellement ont tendance à avoir des mots de passe faibles et des privilèges élevés, ce qui en fait des cibles particulièrement attrayantes.

Les attaques Kerberoasting sont difficiles à détecter, car elles tirent parti de la conception prévue de Kerberos. L’étape la plus suspecte d’une attaque Kerberoasting, à savoir le déchiffrement des tickets volés, se produit hors ligne. Les professionnels de la cybersécurité ne peuvent pas éliminer complètement la possibilité d’un Kerberoasting, mais ils peuvent déployer des défenses proactives pour atténuer la menace.

Le Kerberoasting constitue généralement un moyen d’augmenter les privilèges plutôt qu’une tactique d’infiltration initiale. Une fois qu’un pirate a pris le contrôle d’un compte d’utilisateur de domaine pour accéder au réseau, il utilise le Kerberoasting pour étendre la portée de l’attaque.

La plupart des attaques Kerberoasting suivent la même méthode de base :

1. Un pirate utilise un compte compromis pour obtenir des tickets de service Kerberos. 
   
2. Le pirate transmet ces tickets à un ordinateur se trouvant en dehors du réseau qu’il attaque.
   
3. Le pirate déchiffre les tickets et découvre les mots de passe des comptes de service qui exécutent les services associés à chaque ticket.
   
4. Le pirate se connecte au réseau en utilisant les identifiants des comptes de service, faisant une utilisation abusive de leurs autorisations pour se déplacer sur le réseau et causer des dommages.

Pour comprendre pourquoi le Kerberoasting fonctionne, il faut d’abord comprendre les bases de Kerberos.

Kerberos est un protocole d’authentification qui permet aux utilisateurs et aux services (comme les applications, les bases de données et les serveurs) de s’authentifier et de communiquer en toute sécurité au sein d’Active Directory et d’autres domaines.

Le processus d’authentification Kerberos utilise un système de tickets. Au cœur de ce système se trouve le centre de distribution de clés (KDC), qui s’exécute sur le contrôleur de domaine du réseau.

Le KDC est essentiellement le gardien du domaine. Il authentifie les utilisateurs et les services sur le réseau et leur délivre des tickets. Les tickets sont des identifiants qui prouvent l’identité des utilisateurs et leur permettent d’accéder à d’autres ressources sur le réseau. Les utilisateurs et les services échangent ces tickets pour vérifier leur identité les uns auprès des autres.

Lorsqu’un utilisateur se connecte à un domaine, il s’authentifie d’abord auprès du KDC et reçoit un ticket d’octroi de tickets (TGT). Ce TGT permet à l’utilisateur de demander l’accès aux services de domaine.

Lorsque l’utilisateur souhaite accéder à un service, il envoie une requête au service d’octroi de tickets (TGS) du KDC. Le TGT accompagne cette demande pour garantir l’identité de l’utilisateur.

En réponse, le KDC émet un ticket de service, également appelé « ticket TGS », qui est chiffré à l’aide du mot de passe du compte de service. Cela permet de s’assurer que seul le service cible peut valider la demande d’accès de l’utilisateur. L’utilisateur présente ce ticket de service au service cible, qui authentifie l’utilisateur et lance une session sécurisée.

Quelques détails dans la conception de Kerberos laissent la porte ouverte au Kerberoasting.

Premièrement, le KDC ne vérifie pas si les utilisateurs sont autorisés ou non à accéder à un service. Tout utilisateur peut demander un ticket pour n’importe quel service. Il appartient aux services individuels d’appliquer les permissions et de bloquer les utilisateurs non autorisés. De ce fait, les pirates n’ont pas besoin de s’emparer des comptes des administrateurs de domaine ou d’autres utilisateurs privilégiés. Tout compte compromis fait l’affaire.

Deuxièmement, chaque service d’un domaine Kerberos doit être associé à un compte de service responsable de l’exécution du service sur le domaine. Les comptes de service permettent à Kerberos d’authentifier les services, d’émettre des tickets de service et d'appliquer des contrôles de sécurité. Ces comptes constituent également une cible pour les pirates, car ils ont tendance à avoir des privilèges élevés.

Troisièmement, les tickets Kerberos sont chiffrés, en utilisant les hachages de mot de passe des comptes associés comme clés. Il est important de noter que pour le Kerberoasting, les tickets de service utilisent les hachages de mot de passe des comptes de service concernés.

Les mots de passe de compte sont des clés de chiffrement symétriques pratiques, car le KDC et le service associé sont les seuls qui doivent connaître ce mot de passe. Mais comme les tickets sont chiffrés à l’aide de hachages de mots de passe, les pirates peuvent avoir recours à l’ingénierie inverse pour reconstituer les mots de passe des comptes de service en décodant le chiffrement d’un ticket.

En outre, l’option « Le mot de passe n’expire jamais » est souvent activée sur les comptes de service configurés manuellement. Dans les réseaux en place depuis longtemps, cela signifie que les comptes de service utilisent des mots de passe très anciens qui suivent des directives de sécurité obsolètes, ce qui les rend faciles à déchiffrer.

Alors que le Kerberoasting nécessite normalement un compte d’utilisateur de domaine compromis, le chercheur en sécurité Charlie Clark a découvert une technique d’attaque permettant aux pirates de voler des tickets de service sans détourner de compte, si les bonnes conditions sont réunies.¹

Rappelons qu’avant qu’un utilisateur ne puisse recevoir des tickets de service, il doit s’authentifier auprès du KDC et obtenir un TGT lui permettant de demander l’accès au service. Grâce à l’outil d’exploitation de Kerberos, Rubeus, Charlie Clark a pu modifier cette requête d’authentification initiale afin qu’elle demande un ticket de service au lieu d’un TGT. Cette méthode a fonctionné et le KDC a répondu en émettant un ticket de service.

Cette méthode a des applications limitées. Pour que la technique fonctionne, le pirate doit faire mine d’envoyer la demande d’authentification à partir d’un compte qui ne nécessite pas de préauthentification dans Kerberos. Les comptes qui nécessitent une préauthentification, ce qui est le cas de la plupart d’entre eux, ont besoin d’identifiants utilisateur ne serait-ce que pour envoyer la demande d’authentification initiale modifiée par Charlie Clark. Néanmoins, cette technique ouvre une voie d’attaque potentielle pour les pirates.

Les pirates ont fait appel à des techniques de Kerberoasting dans certaines des cyberattaques les plus dévastatrices de ces dernières années.

Lors de l’attaque SolarWinds en 2020, des pirates de l’État russe ont diffusé des logiciels malveillants en les faisant passer pour une mise à jour légitime de la plateforme de gestion de l’infrastructure Orion de SolarWinds. Ils ont infiltré plusieurs entreprises et agences gouvernementales, notamment les Départements d’État et de la Justice des États-Unis. Selon Mitre, les pirates ont utilisé le Kerberoasting pour augmenter leurs privilèges sur les systèmes compromis.²

De même, les pirates affiliés au ransomware Akira ont souvent recours au Kerberoasting pour étendre leur portée et conserver l’accès aux réseaux qu’ils infiltrent. En avril 2024, Akira a touché 250 organisations dans le monde entier, extorquant un total de 42 millions de dollars de rançons.³

Bien que les attaques Golden Ticket ciblent également les processus d’authentification Kerberos, elles diffèrent du Kerberoasting.

Dans le cas du Kerberoasting, les pirates volent et cassent les tickets pour découvrir les mots de passe et prendre le contrôle des comptes de service.

Lors d’une attaque Golden Ticket, le pirate obtient d’abord des privilèges d’administrateur sur un domaine. Cela lui permet d’accéder au mot de passe du compte krbtgt, le compte utilisé par le KDC pour chiffrer les TGT. Le pirate utilise ensuite ces privilèges pour créer des tickets Kerberos frauduleux qui lui permettent de se faire passer pour n’importe quel utilisateur et d’accéder pratiquement sans restriction aux ressources du réseau.

Les attaques Kerberoasting sont difficiles à repérer, car pendant une bonne partie du temps, les pirates se font passer pour des comptes légitimes. Leurs demandes de tickets se confondent avec les demandes réelles, et le déchiffrement du mot de passe a lieu en dehors du réseau.

Cela dit, il existe des outils et des pratiques que les organisations peuvent utiliser pour réduire les chances de réussite d’une attaque et mieux intercepter le Kerberoasting pendant son exécution.

Comme le Kerberoasting implique la prise de contrôle des comptes de domaine, la protection de ces comptes avec des contrôles IAM améliorés peut permettre de contrecarrer certaines violations.

Des politiques et des pratiques strictes en matière de mots de passe, y compris des solutions de gestion centralisée, peuvent compliquer le cassage de mots de passe pour les pirates. Le framework MITRE ATT&CK, par exemple, recommande que les mots de passe des comptes de service comportent au moins 25 caractères, qu’ils soient suffisamment complexes et qu’ils soient régulièrement modifiés.⁴

Dans Active Directory, les organisations peuvent utiliser des comptes de service administrés de groupe. Il s’agit de comptes de service qui génèrent, gèrent et modifient régulièrement les mots de passe de manière automatique, de sorte que les administrateurs n’ont pas besoin d’exécuter ces tâches manuellement.

L’authentification forte, comme l’authentification adaptative ou multifacteur (MFA), peut également contribuer à protéger les comptes utilisateur contre le vol. Cela dit, il est souvent difficile et inefficace d’utiliser la MFA pour les comptes de service.

Les outils de gestion des accès privilégiés peuvent contribuer à renforcer la sécurité des identifiants des comptes privilégiés, tels que les comptes de service Kerberos et d’autres cibles très appréciées.

En limitant les privilèges des comptes de service aux autorisations dont elles ont besoin, les organisations peuvent minimiser les dommages causés par les pirates compromettant ces comptes.

En outre, les comptes de service peuvent être limités à des connexions non interactives, et uniquement sur des services et des systèmes spécifiques.

Les demandes de tickets malveillantes se mêlent souvent aux demandes légitimes, mais les pirates peuvent laisser des traces caractéristiques. Par exemple, un compte demandant des tickets pour plusieurs services à la fois pourrait cacher un pirate en train de mener une attaque Kerberoasting.

Les journaux d’événements comme l’Observateur d’événements de Windows ou un système de gestion des informations et des événements de sécurité (SIEM) peuvent permettre aux équipes de sécurité à détecter les activités suspectes.Les outils qui surveillent les utilisateurs, comme les solutions d’analyse du comportement des utilisateurs (UBA), peuvent aider les organisations à détecter les pirates ayant détourné des comptes légitimes.

Les équipes de sécurité peuvent détecter davantage d’activités malveillantes en alignant les outils de surveillance sur leurs systèmes d’information. Par exemple, les outils peuvent être configurés de sorte que toute tentative de connexion d’un compte de service en dehors du cadre prédéfini donne lieu à une alerte et nécessite une enquête.

De nombreuses instances de Kerberos prennent encore en charge l’algorithme de chiffrement RC4. Cependant, cette ancienne norme de chiffrement est relativement facile à décoder pour les pirates.

L’utilisation d’un type de chiffrement plus fort, comme l’AES, peut empêcher les pirates de déchiffrer les tickets.

Certaines organisations créent des honeytokens, de faux comptes de domaine destinés à être compromis. Lorsque des pirates attaquent un honeytoken, une alerte est automatiquement déclenchée et l’équipe de sécurité peut agir.

Les honeytokens sont conçus pour éloigner les pirates des comptes réels. Comment ? Ils semblent avoir des identifiants faibles et des privilèges élevés.