Sprache:
2014 trat ein neuer Angriffstyp namens Kerberoast in Erscheinung, der auf privilegierte Domänenbenutzerkonten abzielte. Dazu nutzte er interne Mechanismen des Kerberos-Authentifizierungsprotokolls aus. Das Ziel des Angreifers ist, das Klartext-Passwort eines Kontos herauszufinden, das ihm verknüpfte Rechte gewährt.
Dieser Angriff kann innerhalb einer Active Directory-Umgebung mithilfe eines einfachen Benutzerkontos ohne Berechtigungen erfolgen. Falls ein spezielles Active Directory-Attribut für ein Konto festgelegt ist (der servicePrincipalName
), wirkt sich dies auf die zugrunde liegende Sicherheit dieses Kontos aus. Das Passwort dieses Kontos kann erraten werden und herkömmliche Sicherheitsmechanismen, die ein Konto nach mehreren Passwortfehlversuchen sperren, können umfassende Angriffe auf Passwörter nicht verhindern.
Einige sehr privilegierte Konten sind in der Regel das Ziel (z. B. Benutzer der Gruppe Domänenadministratoren
). Diese Konten können sehr schnell zu einer Kompromittierung der gesamten Domäne führen. Daher sollten sie vor dieser Kerberos-Konfigurationsbedrohung geschützt werden.
Der Indicator of Attack Kerberoasting kann Sicherheitspersonal warnen, falls ein Angreifer versucht, diese Schwachstelle auszunutzen. Dennoch ist es weiterhin erforderlich, das zugrunde liegende Problem zu beheben, um besonders privilegierte Konten abzusichern, da dies zu einer vollständigen Domänenkompromittierung führen kann.
Privilegierte Konten sollten keinen Service Principal Name haben.
MITRE ATT&CK - Steal or Forge Kerberos Tickets: Kerberoasting
Sneaky Persistence Active Directory Trick: Dropping SPNs on Admin Accounts for Later Kerberoasting
Kerberos: Authentifizierungsdienst für Computernetzwerke
Authentifizierungsgeheimnisse Teil II - Kerberos schlägt zurück
Name: Privilegierte Konten, unter denen Kerberos-Dienste ausgeführt werden
Codename: C-PRIV-ACCOUNTS-SPN
Schweregrad: Critical
Taktiken: TA0004 – Rechteausweitung
Techniken: T1078 – Gültige Konten