Pesquisa de site

O que é um ataque Silver Ticket e como evitá-lo?

O que é um ataque de bilhete de prata?

Um ticket prateado é um ticket de autenticação falso criado quando um invasor rouba a senha de um usuário do Active Directory (AD). Este ticket é usado para falsificar tickets de serviço de concessão de tickets, permitindo acesso não autorizado a recursos direcionados.

Os ataques Silver Ticket exploram a vulnerabilidade Kerberos, conhecida como Kerberoasting, para coletar hashes de senha. Os ataques aos bilhetes dourados e aos bilhetes diamante também exploram esta vulnerabilidade, mas os bilhetes prateados são mais direccionados na sua utilização. Se os invasores obtiverem acesso ao seu Active Directory por meio de um ataque Silver Ticket, eles poderão contornar muitas medidas de segurança cibernética.

Algumas maneiras de mitigar os danos de um ataque de bilhete prateado incluem habilitar a validação de certificados de atributos privilegiados do Kerberos, usar um serviço de senha para criar senhas fortes e aleatórias e restringir privilégios administrativos para evitar a escalada do ataque.

Como funciona um ataque de bilhete prateado?

A execução de um ataque Silver Ticket exige que o invasor já tenha o controle de uma conta comprometida no ambiente AD. Esse comprometimento inicial pode ocorrer por meio de diversas formas de ataques cibernéticos ou malware. Depois que o acesso é obtido, o invasor segue um processo passo a passo para criar credenciais de autorização forjadas. Essas etapas estão resumidas abaixo:

  • Etapa 1: Reúna informações sobre o domínio e o serviço local específico que está sendo direcionado. Isto envolve descobrir o identificador de segurança do domínio e o nome DNS do serviço.
  • Etapa 2: Use uma ferramenta para adquirir o hash NTLM local, ou hash de senha, para o serviço Kerberos. O hash NTLM pode ser obtido da conta de serviço local ou do gerente da conta de segurança de um sistema comprometido.
  • Etapa 3: Extraia a senha não criptografada do hash NTLM usando Kerberoasting.
  • Etapa 4: Crie um serviço de concessão de tickets Kerberos, que permite ao invasor se autenticar no alvo desejado.
  • Etapa 5: Use os tickets forjados para obter ganhos financeiros ou corromper ainda mais o sistema, dependendo do objetivo do invasor.

Assim que o invasor possuir o bilhete prateado forjado, ele poderá executar o código no sistema de destino. Isso permite que eles aumentem seus privilégios no host local e comecem a se mover lateralmente pelo ambiente comprometido, ou até mesmo a criar um bilhete dourado.

Estratégias comuns de mitigação para ataques de Silver Ticket

Para evitar ataques de dumping de credenciais, como ataques de bilhetes prateados, existem várias medidas que podem ser tomadas. Em primeiro lugar, é importante evitar que invasores recuperem informações de senha, protegendo o acesso a elas e limitando o acesso que um ticket forjado pode fornecer é crucial. Para evitar ataques Kerberoasting bem-sucedidos, os desenvolvedores podem criptografar os dados armazenados na memória e implementar métodos para limpar regularmente informações confidenciais, como senhas armazenadas. Auditar e fortalecer contas de serviço pode garantir que as senhas sejam mais difíceis de descobrir e não sejam compartilhadas pela rede. Além disso, a validação do protocolo Kerberos é fundamental, garantindo que os tickets foram emitidos pelo distribuidor legítimo de chaves. Para prevenir ataques de bilhetes prateados, as seguintes medidas podem ser tomadas:

Eduque os usuários sobre reutilização de senhas e ataques de phishing

Os usuários devem ser treinados para usar senhas exclusivas para cada conta e não reutilizar senhas em diferentes serviços. Eles também devem ser informados sobre como identificar e evitar ataques de phishing, que são comumente usados para coletar credenciais para ataques de bilhetes prateados.

Gerenciar um modelo de privilégio mínimo

Restringir o acesso do usuário e do administrador de domínio apenas aos privilégios necessários pode limitar o dano potencial de um ataque Silver Ticket. Ao conceder aos usuários as permissões mínimas necessárias para suas tarefas, a capacidade do invasor de escalar privilégios e mover-se lateralmente na rede é minimizada.

Implementar Kerberos com Certificado de Atributo de Privilégio (PAC)

O PAC permite a inclusão de dados de autorização nos tickets Kerberos, possibilitando uma autenticação mais segura. Exigir que o Ticket-Granting Service (TGS) seja assinado pelo Key Distribution Center (KDC) usando a chave de criptografia KRBTGT adiciona uma camada adicional de proteção contra ataques de falsificação.

Use senhas fortes e exclusivas para usuários locais, administradores e contas de serviço

Um dos principais componentes dos ataques de bilhetes prateados é a quebra offline de credenciais. Ao garantir que todas as contas locais tenham senhas fortes e exclusivas, a capacidade do invasor de quebrar essas credenciais e gerar tickets fraudulentos diminui significativamente.

Implementar ferramentas para validar cada ticket

É importante ter mecanismos que validem a autenticidade de cada ticket apresentado por um principal Kerberos (como um cliente de serviço). Isso envolve coletar e validar todas as mensagens de autenticação Kerberos para cada SPN (nome principal de serviço) protegido. Isso ajuda a detectar e rejeitar tickets não autorizados ou falsificados.

Habilitar criptografia AES Kerberos

Recomenda-se usar algoritmos de criptografia mais fortes, como AES, em vez de algoritmos mais fracos, como RC4, sempre que possível. Isso ajuda a aumentar a segurança do processo de autenticação Kerberos, dificultando a manipulação ou exploração do sistema pelos invasores.

Como responder a um ataque de bilhete prateado

Após a ocorrência de um ataque de bilhete prateado, sua equipe de segurança cibernética deve responder imediatamente. Esta resposta deve envolver fazer perguntas importantes e reforçar as medidas de segurança com base nas respostas. Essas questões incluem determinar como o invasor acessou inicialmente a rede, quais contas foram visadas, quais informações obtiveram acesso e quais ativos foram comprometidos. Depois que as respostas a essas perguntas forem conhecidas, a equipe de segurança cibernética poderá tomar contramedidas.

Artigos relacionados