Accueil

Thèmes

Kerberoasting

Qu’est-ce qu’une attaque Kerberoasting ?
Découvrir les solutions de gestion des identités et des accès d’IBM S’inscrire pour recevoir les mises à jour liées à la sécurité
Collage de pictogrammes représentant un nuage, un serveur et le trafic réseau pour illustrer une attaque Kerberoasting

Publication : 13 mai 2024
Contributeur : Matthew Kosinski

Qu’est-ce qu’une attaque Kerberoasting ? 

Le Kerberoasting est une cyberattaque qui exploite le protocole d’authentification Kerberos. Les acteurs malveillants volent des tickets de service Kerberos pour découvrir les mots de passe en texte clair des comptes de service réseau. Les pirates prennent ensuite le contrôle de ces comptes de service pour voler des données, propager des logiciels malveillants et plus encore. 

Le Kerberoasting est de plus en plus courant. Les analystes de la sécurité X-Force d’IBM ont constaté une augmentation de 100 % des incidents liés au Kerberoasting entre 2022 et 2023, selon le rapport X-Force Threat Intelligence Index. Cette croissance s’inscrit dans la tendance générale des pirates à s’emparer de comptes valides pour infiltrer les réseaux. Les améliorations apportées à la sécurité des réseaux et des terminaux ont rendu les attaques directes beaucoup plus difficiles à réaliser.

Quelques facteurs supplémentaires contribuent à la popularité du Kerberoasting. De nombreux services d'annuaire et systèmes de cloud computing utilisent Kerberos, ce qui signifie que les pirates peuvent exploiter le protocole pour accéder à l’infrastructure réseau critique.  

Kerberos est notamment la norme dans Microsoft Windows Active Directory, et de nombreuses attaques Kerberoasting ciblent les domaines Active Directory. De plus, les comptes de service créés manuellement ont tendance à avoir des mots de passe faibles et des privilèges élevés, ce qui en fait des cibles particulièrement attrayantes.  

Les attaques Kerberoasting sont difficiles à détecter, car elles tirent parti de la conception prévue de Kerberos. L’étape la plus suspecte d’une attaque Kerberoasting, à savoir le déchiffrement des tickets volés, se produit hors ligne. Les professionnels de la cybersécurité ne peuvent pas éliminer complètement la possibilité d’un Kerberoasting, mais ils peuvent déployer des défenses proactives pour atténuer la menace. 

Rapport sur le coût d’une fuite de données

Découvrez comment aider vos équipes informatiques et de sécurité à mieux gérer les risques et à limiter les pertes.

Découvrez comment IBM Verify permet de protéger les comptes contre le vol de données et les usages abusifs grâce à un contexte et des renseignements approfondis
Comment fonctionne le Kerberoasting ? 

Le Kerberoasting constitue généralement un moyen d’augmenter les privilèges plutôt qu’une tactique d’infiltration initiale. Une fois qu’un pirate a pris le contrôle d’un compte d’utilisateur de domaine pour accéder au réseau, il utilise le Keberoasting pour étendre la portée de l’attaque. 

La plupart des attaques Kerberoasting suivent la même méthode de base :

  1. Un pirate utilise un compte compromis pour obtenir des tickets de service Kerberos.
     
  2. Le pirate transmet ces tickets à un ordinateur se trouvant en dehors du réseau qu’il attaque. 
     
  3. Le pirate déchiffre les tickets et découvre les mots de passe des comptes de service qui exécutent les services associés à chaque ticket.
     
  4. Le pirate se connecte au réseau en utilisant les identifiants des comptes de service, faisant une utilisation abusive de leurs autorisations pour se déplacer sur le réseau et causer des dommages.
Pourquoi le Kerberoasting fonctionne-t-il ? 

Pour comprendre pourquoi le Kerberoasting fonctionne, il faut d’abord comprendre les bases de Kerberos.

Kerberos est un protocole d’authentification qui permet aux utilisateurs et aux services (comme les applications, les bases de données et les serveurs) de s’authentifier et de communiquer en toute sécurité au sein d’Active Directory et d’autres domaines.  

Le processus d’authentification Kerberos utilise un système de tickets. Au cœur de ce système se trouve le centre de distribution de clés (KDC), qui s’exécute sur le contrôleur de domaine du réseau.

Le KDC est essentiellement le gardien du domaine. Il authentifie les utilisateurs et les services sur le réseau et leur délivre des tickets. Les tickets sont des identifiants qui prouvent l’identité des utilisateurs et leur permettent d’accéder à d’autres ressources sur le réseau. Les utilisateurs et les services échangent ces tickets pour vérifier leur identité les uns auprès des autres. 

Lorsqu’un utilisateur se connecte à un domaine, il s’authentifie d’abord auprès du KDC et reçoit un ticket d’octroi de tickets (TGT). Ce TGT permet à l’utilisateur de demander l’accès aux services de domaine. 

Lorsque l’utilisateur souhaite accéder à un service, il envoie une requête au service d’octroi de tickets (TGS) du KDC. Le TGT accompagne cette demande pour garantir l’identité de l’utilisateur. 

En réponse, le KDC émet un ticket de service, également appelé « ticket TGS », qui est chiffré à l’aide du mot de passe du compte de service. Cela permet de s’assurer que seul le service cible peut valider la demande d’accès de l’utilisateur. L’utilisateur présente ce ticket de service au service cible, qui authentifie l’utilisateur et lance une session sécurisée. 

Quelques détails dans la conception de Kerberos laissent la porte ouverte au Kerberoasting.  

Premièrement, le KDC ne vérifie pas si les utilisateurs sont autorisés ou non à accéder à un service. Tout utilisateur peut demander un ticket pour n’importe quel service. Il appartient aux services individuels d’appliquer les permissions et de bloquer les utilisateurs non autorisés. De ce fait, les pirates n’ont pas besoin de s’emparer des comptes des administrateurs de domaine ou d’autres utilisateurs privilégiés. Tout compte compromis fait l’affaire.

Deuxièmement, chaque service d’un domaine Kerberos doit être associé à un compte de service responsable de l’exécution du service sur le domaine. Les comptes de service permettent à Kerberos d’authentifier les services, d’émettre des tickets de service et d'appliquer des contrôles de sécurité. Ces comptes constituent également une cible pour les pirates, car ils ont tendance à avoir des privilèges élevés.  

Troisièmement, les tickets Kerberos sont chiffrés, en utilisant les hachages de mot de passe des comptes associés comme clés. Il est important de noter que pour le Kerberoasting, les tickets de service utilisent les hachages de mot de passe des comptes de service concernés. 

Les mots de passe de compte sont des clés de chiffrement symétriques pratiques, car le KDC et le service associé sont les seuls qui doivent connaître ce mot de passe. Mais comme les tickets sont chiffrés à l’aide de hachages de mots de passe, les pirates peuvent avoir recours à l’ingénierie inverse pour reconstituer les mots de passe des comptes de service en décodant le chiffrement d’un ticket.  

En outre, l’option « Le mot de passe n’expire jamais » est souvent activée sur les comptes de service configurés manuellement. Dans les réseaux en place depuis longtemps, cela signifie que les comptes de service utilisent des mots de passe très anciens qui suivent des directives de sécurité obsolètes, ce qui les rend faciles à déchiffrer. 

Le processus de Kerberoasting
1. Détourner un compte utilisateur

La première étape d’une attaque Kerberoasting type consiste à voler le compte d’un utilisateur de domaine. Un pirate peut utiliser de nombreuses méthodes de cyberattaque à ce stade, telles que l’hameçonnage, les enregistreurs de frappe ou d’autres techniques. Il peut ensuite utiliser ce compte pour accéder au domaine cible.

Découvrez comment les services de gestion des identités et des accès d’IBM protègent les comptes clés contre les menaces
2. Identifier les cibles 

Une fois le pirate dans le réseau, il recherche des comptes de service. Pour ce faire, il cherche souvent des comptes avec des noms de principaux de service (SPN). Les SPN sont des identifiants uniques qui relient les services à leurs comptes de service dans un domaine Kerberos. Étant donné que seuls les comptes de service ont cet attribut, l’énumération des comptes associés à des SPN est un moyen pratique pour les pirates de trouver des cibles. Chaque compte de domaine peut énumérer les SPN par défaut. 

Les pirates peuvent utiliser des commandes PowerShell et des requêtes LDAP (Light Directory Access Protocol) pour faire apparaître les comptes avec des SPN. Ils peuvent également utiliser des outils spécialisés de piratage et de test d’intrusion. Par exemple, les outils Impacket incluent un script appelé « GetUserSPNs.py » qui génère la liste des comptes de service d’un domaine.

3. Voler des tickets 

Le pirate utilise le compte de domaine détourné pour demander des tickets de service pour les services ciblés.

Il n’utilise pas ces tickets pour accéder à ces services. Il le pourrait, mais il disposerait uniquement des autorisations probablement limitées du compte utilisateur volé. Donc, le pirate retire ces tickets du réseau et les envoie vers un ordinateur qu’il contrôle.

4. Casser les mots de passe 

Le pirate déchiffre les tickets volés pour récupérer les mots de passe des comptes de service.

Comme les tickets utilisent les mots de passe des comptes de service comme clés cryptographiques, les pirates ont généralement recours à des attaques par force brute. Ils utilisent systématiquement différents mots de passe pour générer des clés de chiffrement (« hachages ») qu’ils utilisent sur le ticket volé. Si une clé de chiffrement fonctionne, le mot de passe qui a généré la clé est le mot de passe du compte de service. 

Les pirates peuvent accélérer le déchiffrement en utilisant des listes de mots de passe courants. Ils utilisent également des outils variés pour automatiser le processus de cassage. Voici certains des outils de Kerberoasting les plus courants :

  • Impacket : Une boîte à outils Python conçue pour les testeurs d’intrusions. Elle comprend des scripts pouvant causer de réels dégâts entre les mains d’un pirate. 
     

  • Rubeus : Un ensemble d’outils conçu pour exploiter Kerberos pour les tests d’intrusion. Comme de nombreux outils de piratage éthique, ils peuvent être utilisés par des pirates non éthiques à des fins malveillantes. 
     

  • John the Ripper et Hashcat : Des casseurs de mots de passe capables de lancer des attaques par force brute. 
     

  • Mimikatz : Aide les pirates à extraire et à casser les tickets Kerberos.

Le décodage de tickets est le principal signal d’alarme dans le Kerberoasting, mais il se produit généralement en dehors du réseau cible, sur un appareil contrôlé par les pirates. Les outils de sécurité de l’organisation ne peuvent donc pas le détecter.  

5. Utiliser le mot de passe 

Armé du mot de passe d’un compte de service, le pirate peut s’y connecter et utiliser ses autorisations pour accéder à des ressources sensibles, effectuer des mouvements latéraux et plus encore.

Par exemple, si un pirate déchiffrait le mot de passe du compte de service d’un serveur SQL, il pourrait prendre le contrôle des bases de données hébergées sur ce serveur. 

Kerberoasting sans identifiants de compte volés 

Alors que le Kerberoasting nécessite normalement un compte d’utilisateur de domaine compromis, le chercheur en sécurité Charlie Clark a découvert une technique d’attaque permettant aux pirates de voler des tickets de service sans détourner de compte, si les bonnes conditions sont réunies.1

Rappelons qu’avant qu’un utilisateur ne puisse recevoir des tickets de service, il doit s’authentifier auprès du KDC et obtenir un TGT lui permettant de demander l’accès au service. Grâce à l’outil d’exploitation de Kerberos, Rubeus, Charlie Clark a pu modifier cette requête d’authentification initiale afin qu’elle demande un ticket de service au lieu d’un TGT. Cette méthode a fonctionné et le KDC a répondu en émettant un ticket de service.

Cette méthode a des applications limitées. Pour que la technique fonctionne, le pirate doit faire mine d’envoyer la demande d’authentification à partir d’un compte qui ne nécessite pas de préauthentification dans Kerberos. Les comptes qui nécessitent une préauthentification, ce qui est le cas de la plupart d’entre eux, ont besoin d’identifiants utilisateur ne serait-ce que pour envoyer la demande d’authentification initiale modifiée par Charlie Clark. Néanmoins, cette technique ouvre une voie d’attaque potentielle pour les pirates. 

Exemples de Kerberoasting 

Les pirates ont fait appel à des techniques de Kerberoasting dans certaines des cyberattaques les plus dévastatrices de ces dernières années.

Lors de l’attaque SolarWinds en 2020, des pirates de l’État russe ont diffusé des logiciels malveillants en les faisant passer pour une mise à jour légitime de la plateforme de gestion de l’infrastructure Orion de SolarWinds. Ils ont infiltré plusieurs entreprises et agences gouvernementales, notamment les Départements d’État et de la Justice des États-Unis. Selon Mitre, les pirates ont utilisé le Kerberoasting pour augmenter leurs privilèges sur les systèmes compromis.2

De même, les pirates affiliés au ransomware Akira ont souvent recours au Kerberoasting pour étendre leur portée et conserver l’accès aux réseaux qu’ils infiltrent. En avril 2024, Akira a touché 250 organisations dans le monde entier, extorquant un total de 42 millions de dollars de rançons.3

Kerberoasting et attaques Golden Ticket 

Bien que les attaques Golden Ticket ciblent également les processus d’authentification Kerberos, elles diffèrent du Kerberoasting. 

Dans le cas du Kerberoasting, les pirates volent et cassent les tickets pour découvrir les mots de passe et prendre le contrôle des comptes de service. 

Lors d’une attaque Golden Ticket, le pirate obtient d’abord des privilèges d’administrateur sur un domaine. Cela lui permet d’accéder au mot de passe du compte krbtgt, le compte utilisé par le KDC pour chiffrer les TGT. Le pirate utilise ensuite ces privilèges pour créer des tickets Kerberos frauduleux qui lui permettent de se faire passer pour n’importe quel utilisateur et d’accéder pratiquement sans restriction aux ressources du réseau.

Détection, atténuation et prévention des attaques Kerberoasting 

Les attaques Kerberoasting sont difficiles à repérer, car pendant une bonne partie du temps, les pirates se font passer pour des comptes légitimes. Leurs demandes de tickets se confondent avec les demandes réelles, et le déchiffrement du mot de passe a lieu en dehors du réseau. 

Cela dit, il existe des outils et des pratiques que les organisations peuvent utiliser pour réduire les chances de réussite d’une attaque et mieux intercepter le Kerberoasting pendant son exécution.

Outils de gestion des identités et des accès 

Comme le Kerberoasting implique la prise de contrôle des comptes de domaine, la protection de ces comptes avec des contrôles IAM améliorés peut permettre de contrecarrer certaines violations.

Des politiques et des pratiques strictes en matière de mots de passe, y compris des solutions de gestion centralisée, peuvent compliquer le cassage de mots de passe pour les pirates. Le framework MITRE ATT&CK, par exemple, recommande que les mots de passe des comptes de service comportent au moins 25 caractères, qu’ils soient suffisamment complexes et qu’ils soient régulièrement modifiés.4

Dans Active Directory, les organisations peuvent utiliser des comptes de service administrés de groupe. Il s’agit de comptes de service qui génèrent, gèrent et modifient régulièrement les mots de passe de manière automatique, de sorte que les administrateurs n’ont pas besoin d’exécuter ces tâches manuellement.

L’authentification forte, comme l’authentification adaptative ou multifacteur (MFA), peut également contribuer à protéger les comptes utilisateur contre le vol. Cela dit, il est souvent difficile et inefficace d’utiliser la MFA pour les comptes de service. 

Gestion des accès privilégiés 

Les outils de gestion des accès privilégiés peuvent contribuer à renforcer la sécurité des identifiants des comptes privilégiés, tels que les comptes de service Kerberos et d’autres cibles très appréciées.

Découvrez comment IBM Verify Privilege aide les entreprises à découvrir, contrôler, gérer et protéger les comptes privilégiés sur les terminaux et les environnements multicloud hybrides
Le principe du moindre privilège 

En limitant les privilèges des comptes de service aux autorisations dont elles ont besoin, les organisations peuvent minimiser les dommages causés par les pirates compromettant ces comptes.

En outre, les comptes de service peuvent être limités à des connexions non interactives, et uniquement sur des services et des systèmes spécifiques. 

Surveillance de l’activité Kerberos 

Les demandes de tickets malveillantes se mêlent souvent aux demandes légitimes, mais les pirates peuvent laisser des traces caractéristiques. Par exemple, un compte demandant des tickets pour plusieurs services à la fois pourrait cacher un pirate en train de mener une attaque Kerberoasting. 

Les journaux d’événements comme l’Observateur d’événements de Windows ou un système de gestion des informations et des événements de sécurité (SIEM) peuvent permettre aux équipes de sécurité à détecter les activités suspectes. Les outils qui surveillent les utilisateurs, comme les solutions d’analyse du comportement des utilisateurs (UBA), peuvent aider les organisations à détecter les pirates ayant détourné des comptes légitimes.

Les équipes de sécurité peuvent détecter davantage d’activités malveillantes en alignant les outils de surveillance sur leurs systèmes d’information. Par exemple, les outils peuvent être configurés de sorte que toute tentative de connexion d’un compte de service en dehors du cadre prédéfini donne lieu à une alerte et nécessite une enquête.   

Renforcer le chiffrement 

De nombreuses instances de Kerberos prennent encore en charge l’algorithme de chiffrement RC4. Cependant, cette ancienne norme de chiffrement est relativement facile à décoder pour les pirates. 

L’utilisation d’un type de chiffrement plus fort, comme l’AES, peut empêcher les pirates de déchiffrer les tickets. 

Honeytokens 

Certaines organisations créent des honeytokens, de faux comptes de domaine destinés à être compromis. Lorsque des pirates attaquent un honeytoken, une alerte est automatiquement déclenchée et l’équipe de sécurité peut agir. 

Les honeytokens sont conçus pour éloigner les pirates des comptes réels. Comment ? Ils semblent avoir des identifiants faibles et des privilèges élevés. 

Solutions connexes
IBM Verify Privilege

Découvrez, contrôlez, gérez et protégez les comptes privilégiés sur les terminaux et les environnements multicloud hybrides.

Découvrir IBM Verify

IBM Verify

Ajoutez un contexte, des renseignements et une sécurité approfondis aux décisions d’attribution des accès utilisateur aux données et aux applications de votre organisation, sur site ou dans le cloud.

Découvrir IBM Verify

Services de gestion des identités et des accès (IAM) IBM

Une gestion des identités et des accès complète, sécurisée et conforme pour les entreprises modernes.

Découvrez les services IAM
Ressources X-Force Threat Intelligence Index

Tirez des leçons des défis et des réussites des équipes de sécurité du monde entier, en vous appuyant sur les informations et les observations issues de la surveillance de plus de 150 milliards d’événements de sécurité par jour dans plus de 130 pays.

Qu’est-ce que l’orchestration des identités ?

Identity Orchestration est une solution logicielle permettant de coordonner les systèmes de gestion des identités et des accès (IAM) disparates de plusieurs fournisseurs dans des workflows fluides.

Types de cybermenaces

Plus les équipes de sécurité et les employés connaissent les différents types de menaces de cybersécurité, plus ils peuvent prévenir, préparer et répondre efficacement aux cyberattaques.

Passez à l’étape suivante

IBM Verify est une plateforme IAM de premier plan qui offre des fonctionnalités alimentées par l’IA pour gérer votre personnel et les besoins de vos clients. Unifiez les silos d’identité, réduisez le risque d’attaques basées sur l’identité et proposez une authentification moderne, y compris des fonctionnalités sans mot de passe.

Découvrir Verify Essayez Verify pendant 90 jours
Notes de bas de page

Tous les liens sont externes au site ibm.com

1 Clark, Charlie. New Attack Paths? As Requested Service Tickets. Semperis. 27 septembre 2022.

2 SolarWinds Compromise. MITRE ATT&CK. 14 avril 2023.

3  StopRansomware: Akira Ransomware. Cybersecurity and Infrastructure Security Agency (CISA). 18 avril 2024. 

4 Steal or Forge Kerberos Tickets: Kerberoasting. MITRE ATT&CK. 30 mars 2023.