Investigadores de ciberseguridad de microsoft Advierten que la eficacia de un método de ciberataque llamado Kerberoasting está aumentando.
Para ayudar a las empresas a activar sus defensas contra este ataque, la compañía ha publicado un expediente Nuevo blogExplicar la metodología, riesgos involucrados y pautas de protección.
Según Microsoft, esta tecnología se ha vuelto más efectiva recientemente debido al creciente uso de piratas informáticos. Unidades de procesamiento de gráficos Para acelerar el descifrado de contraseñas.
Las GPU realizan ataques poderosos
El blog, publicado por David Weston, vicepresidente de seguridad empresarial y de sistemas operativos de Microsoft, señala que Kerberoasting es un ciberataque dirigido al protocolo de autenticación Kerberos, que permite a los actores de amenazas robar credenciales de Active Directory.
Kerberos es un protocolo de autenticación de red que utiliza criptografía de clave secreta para permitir la autenticación segura de usuarios y servicios en redes inseguras, como Internet. Active Directory, por otro lado, es un servicio de directorio desarrollado para redes de dominio de Windows, utilizado para administrar y Autenticación de usuarioY dispositivos y servicios dentro de la organización.
Kerberoasting es una técnica de ataque posterior a la explotación en la que el atacante, después de obtener acceso a la red, solicita tickets de servicio para cuentas asociadas con servicios en Active Directory. Estos tickets se cifran mediante el hash NTLM de la cuenta de servicio. Luego, el atacante extrae el ticket e intenta descifrarlo sin conexión, exponiendo así la cuenta de servicio. contraseña.
“El Kerberoasting es un ataque de baja tecnología y alto impacto”, dijo Weston. “Existen varias herramientas de código abierto que se pueden utilizar para consultar posibles cuentas objetivo, obtener tickets de servicio para esas cuentas y luego utilizar técnicas de piratería de fuerza bruta para obtener la contraseña de la cuenta sin conexión”.
Cuando los actores de amenazas obtienen credenciales válidas, se les permite navegar rápidamente a través de redes y dispositivos comprometidos, identificando otros objetivos de alto valor, como datos confidenciales, credenciales importantes y más.
Para detectar un ataque, los administradores deben verificar las solicitudes de tickets con tipos de cifrado Kerberos inusuales, verificar las alertas de Microsoft Defender y verificar si hay solicitudes de tickets de servicio duplicadas. Puede encontrar más recomendaciones sobre cómo lidiar con Kerberoasting aquí aquí.