Kerberoasting 2025-ben: így védhetők meg a szolgáltatásfiókok

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

kami911 képe
Beküldte kami911 -

A Kerberoasting típusú támadások továbbra is komoly kihívást jelentenek az Active Directory-t üzemeltető informatikai szakemberek számára. Ez a technika lehetővé teszi a kiberbűnözők számára, hogy egy kezdetben alacsony jogosultságú felhasználói fiókból rövid idő alatt magasabb szintű jogosultságot szerezzenek, akár egészen az Active Directory (AD) környezet legmagasabb szintjéig. Ugyanakkor erős jelszavak, megfelelő titkosítás és szigorú kiberbiztonsági szabályok alkalmazásával a támadás kockázata jelentősen csökkenthető.

Mi a Kerberoasting?

A Kerberoasting a Microsoft Active Directory által használt Kerberos hitelesítési protokollt célozza, amely a felhasználók és az eszközök identitását ellenőrzi, amikor azok hozzáférést kérnek egy adott erőforráshoz. A támadók elsődleges célpontjai a szolgáltatásfiókok, amelyeket a Service Principal Name-ek (SPN) azonosítanak az AD-környezeteben.

Hogyan működik Active Directory környezetben?

A támadási lánc első lépéseként a támadó jellemzően adathalászattal, kártevővel vagy más támadási módszerrel kompromittál egy (alacsony jogosultságú) felhasználói fiókot. Ezt követően a Kerberos Ticket Granting Service (TGS) segítségével szolgáltatásjegyet (service ticket) kér az SPN-hez kapcsolódó szolgáltatásfiókokhoz.

A támadók ezeket a fiókokat olyan nyílt forráskódú eszközökkel azonosíthatják, amelyek képesek automatikusan érvényes ticketeket kérni az adott szolgáltatásfiókra. Minden ticketet a célfiók jelszóhashével titkosít a rendszer. A támadó ezután a ticketet offline, brute force vagy más hash-alapú jelszófeltörési technikákkal próbálja visszafejteni és siker esetén átveheti az irányítást a szolgáltatásfiók felett.

Miért nehéz az észlelése?

  • A ticketek feltörése offline történik, így nem generál további hálózati forgalmat.
  • Nem feltétlenül szükséges hozzá malware, ezért megkerüli a hagyományos védelmi megoldásokat, például a vírusirtókat.
  • A támadó egy legitim felhasználói fiókot kompromittál, ezért a fiók szokatlan viselkedése önmagában ritkán kelt azonnal gyanút.

Hogyan védekezhetünk hatékonyan?

  1. Rendszeres jelszóaudit
    Valamennyi SPN-nel rendelkező felhasználói és szolgáltatásfiók esetében megfelelő hosszúságú (legalább 25 karakterből álló), összetett, rendszeresen változtatott jelszó használata javasolt. Ahol lehetséges, célszerű többtényezős hitelesítést (MFA) is alkalmazni.
  2. Group Managed Service Accounts (gMSA) alkalmazása
    A gMSA olyan AD-fióktípus, amely lehetővé teszi, hogy több szolgáltatás vagy szerver ugyanazt a szolgáltatásfiókot használja, miközben a jelszavakat a rendszer automatikusan kezeli. A Microsoft szerint, a gMSA-k jelszavai 120 karakter hosszúságúak és véletlenszerűen generáltak, ezért ellenállók a brute force-típusú támadásokkal szemben.
  3. Megfelelő titkosítás beállítása
    Nem minden szolgáltatásfiók jelent azonos szintű kockázatot. A legkönnyebben támadható célpontok azok, amelyek elavult vagy gyenge titkosítási algoritmusokat használnak. Érdemes modern, erős titkosítási algoritmusokat és protokollokat használni, ahol ez lehetséges.
  4. SPN-ek felülvizsgálata
    Csak azok a fiókok rendelkezzenek SPN-nel, amelyeknek ténylegesen szükségük van rá. A felesleges vagy elavult SPN-ek eltávolítása csökkenti a támadási felületet.

Szervezeti szinten a Kerberoasting kockázata jelentősen csökkenthető következetes jelszószabályokkal, gMSA-k használatával, a titkosítás tudatos beállításával, valamint a mindennapi kibervédelmi higiénia fenntartásával.

(forrás, forrás)