Kerberoasting

Kerberoasting is een techniek die aanvallers kunnen gebruiken om onversleutelde service tickets in een Microsoft Active Directory-omgeving te exploiteren. Kerberoasting draait om het misbruik van de Kerberos-protocol, een netwerkauthenticatiesysteem dat wordt gebruikt door Windows-domeinen.

Hier is hoe het werkt: In een typisch Kerberos-implementatie, als een gebruiker een service probeert te benaderen, vraagt hun client een ticket aan de Key Distribution Center (KDC). Het ticket is versleuteld met het wachtwoord van de service. Echter, wanneer een service-account is geconfigureerd om een Service Principal Name (SPN) te gebruiken, wordt het ticket versleuteld met de NTLM-hash van de serviceaccount, niet het wachtwoord van de gebruiker.

Dit is waar de kwetsbaarheid komt: de tickets zijn versleuteld, maar ze zijn niet op een veilige manier beveiligd. Ze kunnen worden aangevraagd door elk geauthenticeerd gebruiker in het domein, en het KDC verifieert de tickets niet voor het uitgeven ervan. Dit betekent dat een aanvaller die toegang heeft tot het netwerk en de authenticatie heeft, een ticket kan aanvragen, het kan onderscheppen en het vervolgens offline kan kraken om het wachtwoord van de serviceaccount te achterhalen.

Het risico van Kerberoasting is behoorlijk groot. Als een aanvaller erin slaagt een serviceaccount-wachtwoord te kraken, kunnen ze die credentials mogelijk gebruiken om zich door het netwerk te verplaatsen, vertrouwelijke gegevens te stelen, malware te installeren, of andere kwaadaardige activiteiten uit te voeren. Daarom is het belangrijk om sterke wachtwoorden te gebruiken voor serviceaccounts, regelmatige audits uit te voeren van accounts met SPN's, en andere best practices voor beveiliging te volgen om de impact van een mogelijke Kerberoasting-aanval te minimaliseren.