Définition Kerberoasting
Le kerberoasting est une attaque propre à Windows et son outil Active Directory. En réussissant à s’introduire dans cet outil de gestion, les attaquants accèdent à de très nombreuses données confidentielles. Le kerberoasting est une menace avérée et appréciée des cybercriminels tant le potentiel d’informations à récupérer est important. Les administrateurs d’Active Directory disposent de différentes solutions pour contrer cette menace ciblant Kerberos, le protocole d’authentification de l’outil.
Qu’est-ce que le Kerberoasting ?
Avant de parler de kerberoasting, prenons le temps de définir ce qu’est Active Directory et le protocole d’authentification Kerberos. Ce sont sur ces deux éléments que repose en effet l’attaque visant à prendre le contrôle d’un compte administrateur.
Active Directory de Windows et le protocole Kerberos
Active Directory de Microsoft est un outil de gestion. Cet annuaire répertorie toutes les informations des collaborateurs d’une entreprise et des clients, mais aussi toutes les informations matérielles d’une organisation. Il comporte des données confidentielles, comme les adresses mail, les téléphones, ainsi que celles portant sur les imprimantes, ordinateurs professionnels, etc.
Kerberos est le protocole d’identification. C’est lui qui vérifie l’identité de chaque utilisateur souhaitant se connecter à des ressources. Son fonctionnement est simple. Lorsqu’un utilisateur fait une demande d’accès, le Centre de distribution de clés Kerberos (KDC) d’Active Directory lui envoie un ticket TGS (Ticket Granting Service). Une fois en sa possession, l’utilisateur a donc la permission d’entrer dans Active Directory et d’exploiter les données qui s’y trouvent.
Le kerberoasting et l’exploitation du protocole Kerberos
Pour s’introduire dans Active Directory, un cybercriminel réalise une demande d’authentification Kerberos pour accéder à un Service Principal Name (SPN). Un SPN répertorie une catégorie d’informations d’une entreprise (compte utilisateur, liste de matériel, etc.) Il obtient alors un ticket TGS comprenant les informations cryptées. Il travaille ensuite en hors-ligne avec ses outils pour décrypter ces données. Son objectif est de trouver le mot de passe et d’accéder au contenu du SPN en toute discrétion.
Comment se déroule une attaque de Kerberoasting ?
L’attaque de kerberoasting se révèle longue et complexe pour le cybercriminel. Elle nécessite une première intrusion dans le réseau informatique de l’entreprise avant de pouvoir réaliser une demande Kerberos.
Les premiers pas de l’attaque sur Kerberos
La première attaque consiste à s’introduire dans le réseau de l’entreprise où est installé Active Directory. Il pirate un compte utilisateur, à l’aide de techniques d’ingénierie sociale par exemple. L’idée est de pirater un compte où la protection par mot de passe est faible. Le cybercriminel dispose désormais d’un profil utilisateur légitime et peut alors suivre le protocole Kerberos et demander un ticket TGS pour accéder à un SPN.
Récupération du mot de passe du compte administrateur d’Active Directory
Le ticket TGS comprend une version hachée du mot de passe au service. Le cybercriminel doit donc extraire ses données et travailler avec des techniques d’attaques de force brute ou des outils, comme Hashcat, pour parvenir à décrypter le mot de passe.
Le ticket TGS comprenait, il y a quelques années, le hash du mot de passe du compte administrateur. En déchiffrant les identifiants, le cybercriminel a alors accès à toutes les données liées au compte admin. L’attaque de type Kerberoasting est considérée comme une attaque par élévation de privilèges.
Depuis quelques années, le protocole Kerberos a été mis à jour pour éviter la présence du mot de passe administrateur. Cependant, cette correction ne concerne que les nouveaux serveurs Active Directory et les anciens disposent encore de l’ancien algorithme d’identification présentant une faille.
Quels sont les risques associés au kerberoasting ?
Le Kerberoasting est une attaque courante pour le cybercriminel. Le vol d’identifiants permet à tous les hackers d’accéder à une pléthore d’informations sensibles.
Le vol des données : le premier objectif des attaquants
Une fois introduit dans le système, le cybercriminel, surtout le plus expérimenté, peut librement circuler. Il récolte les données confidentielles pour les exploiter ou les revendre sur le dark web. En élevant les privilèges d’un compte, il se déplace absolument partout où il le souhaite, accédant ainsi à des ressources sensibles importantes. L’attaquant peut également poser des portes d’entrée dans l’environnement afin de revenir plus tard, pour continuer d’exploiter son attaque.
La sécurité des serveurs Active Directory compromis par les anciennes versions de Windows
Certaines machines ou certains programmes peuvent encore tourner sur d’anciennes versions de Windows, faute de mise à jour possible pour fonctionner correctement. Elles représentent un facteur de risque pour les entreprises. Les attaquants peuvent réaliser un kerberoasting sur ces anciennes versions pour accéder à vos serveurs récents d’Active Directory.
Quels sont les scénarios d’utilisation courants des cybercriminels ?
La technique du kerberoasting repose avant tout sur un vol d’identifiants. L’attaquant a besoin d’obtenir les accès à un compte utilisateur. Pour cela, il use de méthodes courantes, comme l’hameçonnage ou l’envoi de logiciels malveillants. L’utilisateur clique sur un lien, une bannière de pub ou un fichier corrompu pour que le hacker récupère les informations dont il a besoin.
L’ingénierie sociale, comme dans la majorité des attaques cybercriminelles, est le cœur de cette menace. Les hackers se servent de la naïveté et du manque de connaissances des utilisateurs sur les modes opératoires malveillants.
Comment détecter les attaques de type Kerberoasting ?
Les attaques de type kerberoasting sont très appréciées par les cybercriminels pour la simple raison qu’elles se révèlent très discrètes. Elles passent outre de nombreux outils de protection, inadaptés à détecter ce type d’intrusion.
Contournement de la surveillance des outils de sécurité
Les attaques de type kerberoasting sont difficiles à détecter. L’activité du cyberattaquant dans les services Active Directory est similaire à celle d’un utilisateur approuvé. Il dispose des identifiants nécessaires pour passer inaperçu. Ainsi, les outils de surveillance ne peuvent pas distinguer sa présence de celle d’un autre utilisateur bienveillant.
Des antivirus inefficaces en cas de kerberoasting
De même, l’intrusion ne se fait pas à l’aide d’un malware, qui pourrait être détecté. Les antivirus sont inefficaces dans ce cas. Le décryptage du mot de passe se fait également hors-ligne. Il n’existe donc aucun trafic inhabituel sur le système que pourraient détecter les outils des services informatiques.
L’attaque par kerberoasting est ainsi un véritable défi pour les experts de la cybersécurité.
Quelles sont les mesures de prévention contre cette technique ?
Si la technique d’attaque est difficilement détectable, les entreprises peuvent en revanche entreprendre une stratégie préventive pour l’éviter.
Améliorer la force des mots de passe
Les utilisateurs non avertis se créent souvent des mots de passe faibles, généralement pour mieux s’en souvenir. Pour les cybercriminels, le décryptage d’un mot de passe relève parfois d’un jeu d’enfant, surtout lorsqu’entrent en scène des process pertinents. Les administrateurs doivent encourager la création de mots de passe complexes et aléatoires, à changer régulièrement.
Disposer d’un algorithme de chiffrement récent pour les tickets Kerberos
La mise à jour des outils en matière de sécurité est, incontestablement, le meilleur point de départ pour éviter les intrusions. Dans le cas d’Active Directory, il est nécessaire de mettre en place des algorithmes récents, plus sécurisés. Aujourd’hui, l’algorithme AES se montre plus fiable et remplace le RC4, l’ancien algorithme de chiffrement utilisé pendant les attaques kerberoasting.
Être attentif aux comptes de service à privilèges
Les comptes administrateur d’Active Directory représentent la cible principale des attaquants. Les comptes à privilèges élevés sont les plus à risques. Ils nécessitent de ce fait une attention accrue de la part des administrateurs. Outre l’importance du mot de passe, des mises à jour régulières et la suppression d’anciens comptes inactifs sont à prioriser.
L’authentification multifacteur : un frein à l’attaque par kerberoasting
La double identification est un frein à l’intrusion des attaquants dans Active Directory. En effet, si le hacker dispose d’un premier mot de passe de connexion, il ne peut recevoir le second code d’accès. Attention, ceci ne fonctionne que si vous envoyez la double authentification par SMS à l’utilisateur habituel. La boîte mail et son adresse peuvent être plus facilement compromises qu’un téléphone portable.
Pour contrer les attaques de type kerberoasting, les services de cybersécurité disposent heureusement de nombreuses solutions à mettre en place. La sensibilisation des utilisateurs aux attaques par ingénierie sociale est également indispensable, puisqu’elles servent de point d’appui à d’autres menaces.
La Cyber Management School forme les futurs experts de la cybersécurité. Nous leur apportons le socle de connaissances nécessaires pour comprendre les enjeux des attaques et les process de protection. Vous souhaitez être acteur de la sécurité informatique et rejoindre un secteur d’activité en plein essor ? Contactez-nos bureaux, présents dans toute la France.