Los ataques de Kerberos basados en Microsoft Azure rompen cuentas en la nube

Iniciado por AXCESS, Enero 26, 2023, 01:55:21 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Dos ataques comunes contra los servidores de autenticación Kerberos locales, conocidos como Pass the Ticket y Silver Ticket, se pueden usar contra Azure AD Kerberos de Microsoft, dice una empresa de seguridad.

El servicio Azure AD Kerberos de Microsoft, un servicio de gestión de acceso e identidad (IAM) basado en la nube y, basado en la autenticación Kerberos, puede ser atacado utilizando técnicas similares a las que utilizan los atacantes contra los servidores Kerberos locales.

Kerberos es un protocolo ampliamente utilizado para autenticar usuarios y dispositivos mediante criptografía de claves simétricas y un centro de distribución de claves; permite mecanismos de autenticación modernos, como el inicio de sesión único (SSO). Debido a que la autenticación Kerberos es una medida de seguridad estándar para muchas empresas, los atacantes con frecuencia han tratado de comprometer o eludir los servidores de autenticación mediante ataques de identidad que falsifican a los usuarios legítimos.

En la práctica, un par de ataques de identidad comunes son los enfoques Pass the Ticket y Silver Ticket, que permiten a un atacante usar credenciales robadas o acuñar sus propias credenciales, respectivamente, y autenticarse con servicios empresariales. Ambas técnicas continúan funcionando, hasta cierto punto contra las versiones en la nube de los servidores de autenticación Kerberos, según la firma de servicios de seguridad cibernética Silverfort, que denominó las iteraciones basadas en la nube de los ataques como las amenazas Bounce the Ticket y Silver Iodide.

"Los ataques de identidad que han existido durante algún tiempo siguen siendo un riesgo a medida que las organizaciones se mudan a la nube", dice Dor Segal, investigador principal de seguridad de la firma. "Azure AD Kerberos es una nueva implementación, pero no un nuevo protocolo. Los equipos de seguridad deben ser conscientes de este hecho y poner en práctica las mitigaciones adecuadas".

El hecho de que las variantes de los dos ataques aún funcionen en la nube muestra que mover la infraestructura de seguridad a la nube tiene poco impacto en la amenaza, dice Segal.

"Los problemas descritos podrían afectar a cualquiera que use el nuevo protocolo Azure AD Kerberos", dice. "Si bien Azure AD Kerberos aún se encuentra en las etapas iniciales de adopción, como ocurre con todo lo lanzado por Microsoft, la escala de uso aumentará. En el pasado, este tipo de movimiento lateral era un problema que afectaba a la red empresarial local. Estos [nuevos] ataques rompen este perímetro".

Microsoft agregó la funcionalidad Kerberos a su servicio Azure Active Directory en agosto pasado, y los atacantes seguramente los seguirán, argumentó Silverfort en un informe de investigación publicado el 25 de enero. Después de todo, los sistemas IAM se han convertido en el eje de los esfuerzos de seguridad de confianza cero de muchas Microsoft Active Directory, por ejemplo, blanco de ataques en nueve de cada 10 incidentes. Además, Kerberos es un objetivo frecuente de los atacantes, que a menudo buscan "boletos", es decir, tokens o credenciales de autenticación encriptados, utilizados por el protocolo Kerberos como prueba de que un cliente o dispositivo se ha autenticado en el servidor.

Un intento exitoso de duplicar un ticket otorga a los atacantes acceso a recursos protegidos por un tiempo limitado, generalmente del orden de horas, lo que les permite moverse por una red corporativa o usar servicios de SSO como el correo electrónico que podría estar protegido por la credencial de Kerberos.

Bounce the Ticket y Silver Ticket

En el primer ataque, denominado ataque Bounce the Ticket, un atacante que ha comprometido el sistema de un usuario y que roba un ticket Kerberos de la memoria de la máquina puede usar la clave secreta para obtener acceso a las cargas de trabajo en la nube. Este ataque tiene similitudes con el ataque local Pass the Ticket en los servicios de autenticación de Kerberos y le da al ataque la capacidad de "acceder a los recursos basados en la nube que dependen de Azure AD Kerberos", según la investigación de Silverfort.

El flujo de ataque Bounce the Ticket. Fuente: Silverfort
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En el segundo ataque, denominado ataque Silver Iodide, un atacante que obtiene acceso a la cuenta de Azure AD de un usuario puede conectarse a un servicio específico, en el ejemplo dado por Silverfort, el servicio de uso compartido en la nube de Azure Files, después de encontrar una "brecha de seguridad". en el servicio. La debilidad de seguridad, que Silverfort no describió, puede usarse para crear un nuevo ticket de servidor para acceder o manipular información. La técnica, que se asemeja al ataque Silver Ticket contra los servidores Kerberos locales, también podría usarse contra otros servicios en la nube, siempre que los atacantes puedan encontrar formas de sortear controles específicos, afirmó Silverfort.

Sin solución por delante

En general, los dos problemas representan formas en que un atacante, que ha comprometido un sistema en la red o una cuenta de Azure AD, podría recuperar los boletos de Kerberos y reutilizar esos secretos para ampliar el acceso a otra infraestructura.

Silverfort reveló los problemas a Microsoft y, si bien la empresa está al tanto de las debilidades, no planea solucionarlas, porque no son vulnerabilidades "tradicionales", dice Segal. Microsoft también confirmó que la empresa no las considera vulnerabilidades.

"Esta técnica no es una vulnerabilidad, y para ser utilizada con éxito, un atacante potencial necesitaría derechos administrativos o elevados que otorguen acceso a los datos de la cuenta de almacenamiento", dijo un portavoz de Microsoft. "Recomendamos a los clientes que revisen regularmente las definiciones de sus roles que incluyen permisos de 'lista de claves' y habiliten el software que evita que los atacantes roben credenciales, como Credential Guard".

Segal de Silverfort reconoce que para solucionar los problemas, el protocolo Kerberos tendría que ser rediseñado, y eso es poco probable.

"Reparar una debilidad en cualquier implementación de Kerberos no es tan sencillo como parchear una vulnerabilidad de software tradicional porque requeriría rediseñar todo el protocolo", dice. "Esta sería una tarea importante que requeriría una gran cantidad de recursos y afectaría la compatibilidad de las aplicaciones heredadas que usan Kerberos".

Sin embargo, las empresas pueden dificultar la explotación de cualquier debilidad de seguridad en su infraestructura Kerberos basada en la nube. Las organizaciones deben revisar cualquier cambio en el servicio de control de acceso de Azure y monitorear las actualizaciones de los permisos. Reducir la cantidad de sistemas autorizados para mantener algunas de las credenciales basadas en la nube más críticas, como Ticket-Granting Ticket (TGT), fortalecerá la infraestructura de una empresa para los ataques de Bounce the Ticket, afirmó Silverfort en su informe.

Fuente:
Dark Reading
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta