Invasores estão utilizando privilégio de contas, tickets de acesso e roubo de senhas para acessar ambientes corporativos
Depois de uma série de ataques massivos ao Active Directory (AD), da Microsoft, engenheiros de sistemas da Varonis, empresa pioneira em segurança e análise de dados, descobriram que hackers estão agora explorando uma das formas de autenticação mais utilizadas em acessos do tipo SSO (Single Sign-On), o Kerberos. O novo protocolo de autenticação é considerado sucessor do antigo NTLM.
Por ter se tornado de uso padrão para sites e implementações de Single-Sign-On entre plataformas, o Kerberos virou alvo dos atacantes. Apesar de usar criptografia de chave simétrica e requerer autorização confiável de terceiros para verificar as identidades dos usuários, ele apresenta falhas que estão sendo exploradas por invasores cibernéticos.
O Kerberos passa por três entidades diferentes para autenticar e liberar um acesso, que são o Servidor de Autenticação (SA), o Servidor de Concessão de Tickets (TGS) e o Servidor de Administração (KADM), que cadastra as chaves secretas de cada cliente e serviço.
Hackers se aproveitam dessas diferentes formas de autenticação para obter acesso à rede. Os métodos mais frequentemente registrados foram: forjar uma chave de sessão e apresentar essa falsificação ao recurso como credenciais; obter um bilhete falsificado que concede acesso a um serviço, ou um tíquete que concede a um usuário acesso de administrador de domínio; o preenchimento de credenciais / força bruta, que são tentativas contínuas automatizadas de adivinhar uma senha; configuração do seu próprio DC (Controle de Domínio) e, ainda, o Downgrade de criptografia com malware de chave de esqueleto.
A maioria dos ataques explora mais de uma vulnerabilidade. O objetivo é chegar na memória do servidor que armazena as senhas hash, ou, em outras palavras, uma versão criptografada das senhas legíveis utilizadas para acessar ambientes corporativos do Windows, entre eles o Active Directory.
“As hashes podem aparentar inviolabilidade devido à impossibilidade de decifrá-las. No entanto, para esse tipo de ataque, não é preciso quebrá-las, e sim apenas reutilizá-las ou passá-las para um servidor de autenticação”, explica o vice-presidente da Varonis, Carlos Rodrigues.
Para utilizar tais credenciais, o ataque do tipo pass-the-hash (PtH) é o mais comumente implementado. Nesse tipo de ameaça, o ladrão virtual obtém permissões de administrador para a máquina de um usuário, conseguindo, assim, hashes de privilégios de outros níveis a fim de controlar toda a rede.
A maior vulnerabilidade do Kerberos ainda é a senha. Elas podem ser descobertas através de ataques de força bruta ou roubadas por ataques de phishing . Por esse motivo, a autenticação multifator (MFA) é uma das formas mais eficazes de proteger uma identidade online. Com o MFA, além da senha, o usuário precisará informar um novo dado, que pode ser um telefone, um token aleatório ou ainda impressão digital e reconhecimento facial.
Além disso, soluções de detecção de ameaças e análise de perímetros alertam sobre ataques em potencial, agindo para bloquear acessos, enquanto o gestor tem tempo de executar ações para proteger o ambiente corporativo.
De acordo com Rodrigues, não é possível prevenir totalmente o PtH, no entanto, pode-se reduzir os riscos de ele ocorrer. “Tanto o MFA como configurações inteligentes no Active Directory e ferramentas de análise de riscos são métodos que podem dificultar a ação do hacker e reduzir os danos causados no caso de uma invasão bem-sucedida”, complementa o executivo.
Para saber mais sobre as soluções de segurança da Varonis, voltadas para detecção e proteção contra ameaças cibernéticas, acesse www.varonis.com