¿Qué es un ataque Kerberoasting?

El Kerberoasting es cada vez más común. Los analistas de seguridad de X-Force de IBM observaron un aumento del 100 % en los incidentes de Kerberoasting entre 2022 y 2023, según el índice X-Force Threat Intelligence. Este crecimiento es parte de una amplia tendencia de hackers que abusan de cuentas válidas para vulnerar las redes. Las mejoras en la seguridad de la red y endpoint hicieron que los ataques directos sean mucho más difíciles de lograr.

Algunos factores adicionales incentivan la popularidad de Kerberoasting. Muchos servicios de directorio y sistemas de computación en la nube utilizan Kerberos, lo que significa que los hackers pueden aprovechar el protocolo para obtener acceso a la infraestructura de red crítica.

En particular, Kerberos es estándar en Microsoft Windows Active Directory, y muchos ataques de Keberoasting se dirigen a dominios de Active Directory. Además, las cuentas de servicio creadas manualmente suelen tener contraseñas débiles y altos privilegios, lo que las convierte en objetivos atractivos.

Los ataques de Kerberoasting son difíciles de detectar porque usan el diseño previsto de Kerberos. La parte más sospechosa de un ataque de Kerberoasting (descifrar los tickets robados) ocurre fuera de línea. Los profesionales de ciberseguridad no pueden eliminar por completo la posibilidad de Kerberoasting, pero pueden desplegar defensas proactivas para mitigar la amenaza.

El Kerberoasting suele ser un medio de escalada de privilegios en lugar de una táctica inicial de intrusión. Después de que un hacker obtiene el control de una cuenta de usuario de dominio para ingresar a la red, utilizan el Keberoasting para ampliar su alcance.

La mayoría de los ataques de Kerberoasting siguen el mismo método básico:

1. Un hacker utiliza una cuenta comprometida para obtener tickets de servicio de Kerberos. 
   
2. El hacker lleva estos tickets a una computadora que posee fuera de la red que está atacando.
   
3. El hacker descifra los tickets y descubre las contraseñas de las cuentas de servicio que ejecutan los servicios asociados con cada ticket.
   
4. El hacker inicia sesión en la red mediante las credenciales de las cuentas de servicio, lo cual es un abuso de sus licencias para navegar por la red y causar daño.

Para entender por qué funciona el Keberoasting, primero hay que entender los conceptos básicos de Kerberos.

Kerberos es un protocolo de autenticación que permite a los usuarios y servicios (como aplicaciones, bases de datos y servidores) autenticar y comunicarse de manera segura dentro de Active Directory y otros dominios.

El proceso de autenticación de Kerberos emplea un sistema de tickets. En el núcleo de este sistema se encuentra el centro de distribución de claves (KDC), que opera en el controlador de dominio de la red.

El KDC es, básicamente, el guardián del dominio. Autentica a usuarios y servicios en la red y les emite tickets. Los tickets son credenciales que prueban la identidad de los usuarios y les permiten acceder a otros recursos en la red. Los usuarios y los servicios intercambian estos tickets para verificarse entre sí.

Cuando un usuario inicia sesión en un dominio, primero se autentica con el KDC y recibe un ticket de concesión de tickets (TGT). Este TGT permite al usuario solicitar acceso a los servicios del dominio.

Cuando el usuario desea acceder a un servicio, envía una solicitud al TGS del KDC. El TGT acompaña esta solicitud para dar fe de la identidad del usuario.

En respuesta, el KDC emite un ticket de servicio, también llamado "ticket TGS", que se encripta mediante la contraseña de la cuenta de servicio. Esto sucede para garantizar que solo el servicio de destino pueda validar la solicitud de acceso del usuario. El usuario presenta este ticket de servicio al servicio de destino, el cual autentica al usuario e inicia una sesión segura.

Algunos detalles del diseño de Kerberos lo dejan abierto al Kerberoasting.

En primer lugar, el KDC no verifica si los usuarios están autorizados a acceder a un servicio. Cualquier usuario puede aplicar un ticket para cualquier servicio. Depende de cada servicio hacer cumplir los permisos y bloquear a los usuarios no autorizados. Por lo tanto, los hackers no necesitan apoderarse de las cuentas de los administradores de dominio u otros usuarios privilegiados. Cualquier cuenta comprometida funciona.

En segundo lugar, cada servicio de un dominio Kerberos debe estar asociado a una cuenta de servicio que sea responsable de ejecutar el servicio en el dominio. Las cuentas de servicio permiten que Kerberos autentique servicios, emita tickets de servicio y aplique controles de seguridad. Estas cuentas también son un objetivo para los hackers, ya que tienden a tener altos privilegios.

En tercer lugar, los tickets de Kerberos se cifran mediante los hashes de contraseña de las cuentas asociadas como claves. Es importante señalar que, en el proceso de Kerberoasting, los tickets de servicio utilizan los hashes de contraseña de las cuentas de servicio relevantes.

Las contraseñas de las cuentas son claves de cifrado simétricas convenientes porque solo el KDC y el servicio relacionado deben conocer esa contraseña. Pero como los tickets se cifran con hashes de contraseñas, los hackers pueden revertir ingeniería a las contraseñas de cuentas de servicio mediante el descifrado de un cifrado de ticket.

Además, las cuentas de servicio configuradas manualmente suelen tener habilitada la opción "la contraseña nunca caduca". En las redes de larga data, esto puede significar que las cuentas de servicio utilicen contraseñas muy antiguas que siguen directrices de seguridad desactualizadas, lo que las hace fáciles de hackear.

Si bien el Kerberoasting normalmente requiere una cuenta de usuario de dominio comprometida, el investigador de seguridad Charlie Clark descubrió una técnica de ataque que permite a los hackers robar tickets de servicio sin secuestrar una cuenta en las condiciones adecuadas.¹

Recuerde que antes de que un usuario pueda recibir tickets de servicio, debe autenticar con el KDC y obtener un TGT que le permita aplicar acceso al servicio. Mediante la herramienta de explotación Rubeus de Kerberos, Clark pudo modificar esta solicitud de autenticación inicial para que se pida un ticket de servicio en lugar de un TGT. Funcionó y el KDC respondió con un ticket de servicio.

Este método tiene aplicaciones limitadas. Para que la técnica funcione, el hacker debe fingir que envía la solicitud de autenticación desde una cuenta que no requiere autenticación previa en Kerberos. Las cuentas que requieren autenticación previa, que es la mayoría, necesitan credenciales de usuario incluso para enviar la solicitud de autenticación inicial que Clark modificó. Aún así, esta técnica abre un potencial camino para los atacantes.

Los hackers han utilizado técnicas de Kerberoasting en algunos de los ciberataques más importantes de los últimos años.

En el ataque a SolarWinds de 2020, hackers estatales rusos propagaron malware haciéndolo pasar por una actualización legítima de la plataforma de gestión de infraestructuras Orion de SolarWinds. Los hackers accedieron a varias empresas y organismos públicos, entre ellos los Departamentos de Estado y de Justicia de Estados Unidos. Según Mitre, los hackers emplearon el Kerberoasting para escalar sus privilegios en los sistemas comprometidos^.2

Del mismo modo, los hackers asociados con el ransomware Akira suelen emplear el Kerberoasting para ampliar su alcance y mantener el acceso a las redes que infringen. Hasta abril de 2024, Akira afectó a 250 organizaciones en todo el mundo y obtuvo mediante extorsión un total de 42 millones de dólares en pagos de rescate.³

Mientras que los ataques de boleto de oro también apuntan a los procesos de autenticación de Kerberos, difieren del Keberoasting.

En el Kerberoasting, los hackers roban y descifran tickets para descubrir contraseñas y apoderarse de cuentas de servicio.

En un ataque Golden Ticket, un hacker primero obtiene privilegios de nivel de administrador en un dominio. Esto le permite acceder a la contraseña de la cuenta krbtgt, que es la cuenta que usa el KDC para cifrar los TGT. El hacker emplea estos privilegios para crear tickets de Kerberos no autorizados que le permiten hacerse pasar por cualquier usuario y obtener acceso prácticamente sin restricciones a los recursos de la red.

Los ataques de Kerberoasting son difíciles de detectar porque los atacantes pasan gran parte de su tiempo haciéndose pasar por cuentas legítimas. Sus solicitudes de tickets se mezclan con las reales y el descifrado real de contraseñas ocurre fuera de la red.

Dicho esto, existen herramientas y prácticas que las organizaciones pueden utilizar para reducir las posibilidades de éxito de un ataque e interceptar mejor el Kerberoasting en curso.

Dado que los ataques Kerberoasting se apoderan del control de las cuentas de dominio, proteger estas cuentas con controles IAM mejorados puede ayudar a frustrar algunas violaciones.

Las sólidas políticas y prácticas de contraseñas, incluidas las soluciones centralizadas de gestión de contraseñas, pueden dificultar que los hackers descifren las contraseñas. Por ejemplo, según el marco MITRE ATT&CK, se recomienda que las contraseñas de las cuentas de servicio tengan al menos 25 caracteres, sean suficientemente complejas y se cambien regularmente.⁴

En Active Directory, las organizaciones pueden usar cuentas de servicio gestionadas en grupo. Se trata de cuentas de servicio que generan, gestionan y cambian contraseñas de manera automática, por lo que los administradores no necesitan gestionar las contraseñas manualmente.

La autenticación sólida, como la autenticación adaptativa o multifactor (MFA), también puede ayudar a proteger las cuentas de usuario contra robos. Dicho esto, a menudo resulta difícil y poco eficiente usar MFA para cuentas de servicio.

Las herramientas de gestión de accesos privilegiados pueden ayudar a proporcionar seguridad adicional para las credenciales de las cuentas privilegiadas, como las cuentas de servicio de Kerberos y otros objetivos muy valiosos.

Al limitar los privilegios de la cuenta de servicio a los permisos que necesitan, las organizaciones pueden minimizar el daño que los hackers pueden causar al comprometer esas cuentas.

Además, las cuentas de servicio pueden limitarse a inicios de sesión no interactivos y solo en servicios y sistemas específicos.

Las solicitudes de tickets maliciosos a menudo se confunden con las legítimas, pero los hackers pueden dejar señales reveladoras. Por ejemplo, una cuenta que solicita muchos tickets para muchos servicios a la vez podría estar llevando a cabo un ataque de Kerberoasting.

Los registros de eventos, como Windows Event Viewer o un sistema de gestión de eventos e información de seguridad (SIEM), pueden ayudar a los equipos de seguridad a detectar actividades sospechosas. Las herramientas que monitorean a los usuarios, como una solución de análisis del comportamiento del usuario (UBA), pueden ayudar a detectar a los hackers que secuestraron cuentas legítimas.

Los equipos de seguridad pueden detectar más amenazas adaptando las herramientas de supervisión a sus sistemas de información. Por ejemplo, las herramientas pueden configurarse para que cualquier intento de una cuenta de servicio de iniciar sesión fuera de su ámbito predefinido active una alerta e investigación.

Muchas instancias de Kerberos aún admiten el algoritmo de cifrado RC4. Sin embargo, este estándar de cifrado más antiguo es relativamente fácil de ser vulnerado por los hackers.

Habilitar un tipo de cifrado más fuerte, como AES, puede dificultar que los hackers descifren los tickets.

Algunas organizaciones crean honeytokens, cuentas de dominio falsas que están destinadas a ser comprometidas. Al atacar un honeytoken, los hackers desencadenan automáticamente una alerta para que el equipo de seguridad pueda intervenir.

Los honeytokens están diseñados para desviar la atención de las cuentas reales, que a menudo parecen tener credenciales débiles y altos privilegios.