News

  1. Entrada
  2. Notícias
  3. Kerberoasting: uma ameaça oculta ao seu negócio

Kerberoasting: uma ameaça oculta ao seu negócio

Outubro 24, 2024 in Notícias

Já ninguém discute a importância da cibersegurança para a continuidade dos negócios. Essa realidade implica que as organizações tenham de estar particularmente atentas a “surpresas indesejadas”. Uma dessas surpresas é o Kerberoasting.

O Kerberoasting é um tipo de ataque que explora uma vulnerabilidade no protocolo Kerberos, utilizado para autenticação em redes Windows. Ao obter um ticket de serviço de um utilizador, o atacante pode tentar quebrar a hash desse ticket offline, utilizando ferramentas disponíveis facilmente. Se for utilizado um algoritmo frágil (como, por exemplo, o RC4), o atacante pode obter facilmente as credenciais do utilizador e, consequentemente, aceder a privilégios mais elevados da rede.

Quais os riscos do Kerberoasting?

As consequências de um ataque de Kerberoasting podem ser graves para uma organização. Entre as mais relevantes, destaca-se:

  • Acesso não autorizado: Os atacantes podem obter acesso a sistemas e dados confidenciais.
  • Elevação de privilégios: Os atacantes podem utilizar as credenciais roubadas para fazer subir na hierarquia os seus privilégios e obter controle total sobre a rede.
  • Extorsão: Os atacantes conseguem utilizar as informações obtidas para fazer exigências  à empresa atacada.
  • Danos à reputação: Uma violação de segurança pode causar danos irreparáveis à reputação da organização.

Como proteger o Active Directory do Kerberoasting?

Para proteger o seu Active Directory contra o Kerberoasting, é fundamental adotar as seguintes medidas:

  • Passwords fortes e complexas: Exigir que os utilizadores usem passwords longas, complexas e únicas para cada conta.
  • Desativar o protocolo RC4: Reconfigurar o Domínio de forma a que não protocolos frágeis como o RC4 não sejam utilizados (será necessário rever aplicações legacy que ainda só suportem este).
  • Restrição de acesso: Limitar o acesso aos recursos da rede, concedendo apenas os privilégios necessários a cada utilizador.
  • Monitorização de logs: Fazer uma monitorização regular dos logs do Active Directory para identificar atividades suspeitas.
  • Atualizações de segurança: Manter os sistemas operativos e as aplicações atualizadas com os últimas patches de segurança.
  • Formação, formação, formação: Sensibilizar os colaboradores para os riscos de segurança e as melhores práticas para proteger as informações da empresa.
  • Segmentação de rede: Dividir a rede em segmentos menores, limitando o impacto de um possível ataque.

A Eurotux pode ajudar

Na Eurotux, oferecemos uma ampla gama de serviços para proteger seu ambiente Active Directory, incluindo:

  • Análise de vulnerabilidades: Identificamos as vulnerabilidades existentes no seu ambiente e oferecemos soluções para mitigá-las.
  • Implementação de controlos de segurança: Implementamos controlos de segurança robustos para proteger o seu Active Directory contra ataques como Kerberoasting.
  • Gestão contínua: Fazemos uma monitorização contínua do seu ambiente para detetar e responder a ameaças em tempo real.

Não deixe que o Kerberoasting comprometa a segurança da sua organização. Entre em contato com a Eurotux e descubra como podemos ajudá-lo a proteger os seus dados e garantir a continuidade do seu negócio.

Como funciona o Kerberoasting?

Num ataque Kerberoasting típico:

  • O invasor enumera os SPNs e suas contas de serviço associadas. Os invasores podem usar comandos do PowerShell para encontrar facilmente todos os SPNs de tipos específicos. Um dos tipos de SPN mais úteis que os atacantes procuram é o SQL, pois ele oferece suporte ao SQL Server (um alvo popular para extração de dados).
  • Depois de identificar os SPNs disponíveis e as contas de serviço associadas, o invasor solicita o ticket Kerberos para os SPNs de destino e remove o ticket para o decifrar.
  • Em seguida, o invasor trabalha offline para quebrar o hash da password do ticket, usando ferramentas e técnicas de brute force offline.
  • Depois de decifrar a password do ticket, o invasor obtém acesso à conta (geralmente privilegiada) associada ao ticket de serviço.
  • O invasor usa a conta comprometida para realizar a definição de privilégios e, assim, obter acesso não autorizado a informações confidenciais ou executar outras atividades mal-intencionadas.
  • O comprometimento de uma conta geralmente permite que o invasor aceda a outras contas de utilizador no servidor a que ele obteve acesso primeiramente. Em seguida, o invasor usa a mesma técnica para aceder a mais contas.
O papel das empresas de TI portuguesas na economia digital: a importância do setor de TI para o desenvolvimento económico do país
Kerberoasting: a hidden threat to your business
Alterar a Língua