Dva uobičajena napada na lokalne Kerberos servere za autentifikaciju, poznata kao Pass the Ticket i Silver Ticket, mogu se koristiti protiv Microsoft-ovog Azure AD Kerberos-a, kažu bezbjednosne kompanije.
Microsoft-ova Azure AD Kerberos usluga, usluga upravljanja identitetom i pristupom (IAM) zasnovana na Cloud-u, na Kerberos autentifikaciji, može biti napadnuta tehnikama sličnim onima koje koriste napadači protiv lokalnih Kerberos servera.
Kerberos je široko korišten protokol koji se koristi za autentifikaciju korisnika i uređaja putem kriptografije simetričnog ključa i centra za distribuciju ključeva. Omogućava moderne mehanizme provjere autentičnosti kao što je jedinstvena prijava (SSO). Budući da je Kerberos autentifikacija standardna mjera sigurnosti za mnoge kompanije, napadači su često pokušavali kompromitovati ili zaobići servere za provjeru autentičnosti koristeći napade na identitet koji lažiraju legitimne korisnike.
U on-premises svijetu, par uobičajenih napada na identitet su pristupi Pass the Ticket i Silver Ticket, koji omogućavaju napadaču da koristi ukradene kredencijale ili izradi vlastite krenedcijale i autentifikaciju putem usluga kompanije. Obe tehnike nastavljaju djelovati u određenoj mjeri protiv verzija u Cloud-u Kerberos servera za autentifikaciju, prema kompaniji za sajber sigurnost Silverfort, koja je iteracije napada bazirane na oblaku nazvala Bounce the Ticket i Silver Iodide prijetnje.
„Napadi na identitet koji postoje već neko vrijeme i dalje su rizik jer se organizacije kreću u Cloud-u“, kaže Dor Segal, viši službenik za sigurnosti u kompaniji. “Azure AD Kerberos je nova implementacija, ali ne i novi protokol. Sigurnosni timovi moraju biti svjesni ove činjenice i uvesti odgovarajuća ublažavanja.”
Činjenica da varijante ova dva napada i dalje rade u Cloud-u pokazuje da premještanje sigurnosne infrastrukture u Cloud ima mali uticaj na prijetnju, kaže Segal.
„Opisani problemi mogu uticati na svakoga ko koristi novi Azure AD Kerberos protokol“, kaže on. “Dok je Azure AD Kerberos još uvijek u početnim fazama usvajanja, kao i sa svime što je objavio Microsoft, obim upotrebe će se povećati. U prošlosti je ova vrsta bočnog pomicanja bila problem koji je uticao na lokalnu mrežu preduzeća. Ovi novi napadi razbijaju ovaj perimetar.”
Microsoft je dodao Kerberos funkcionalnost u svoju uslugu Azure Active Directory prošlog avgusta, a napadači će sigurno slediti, tvrdi Silverfort u istraživačkom izveštaju objavljenom 25. januara. Na kraju krajeva, IAM sistemi su postali oslonac za bezbednosne napore mnogih kompanija bez poverenja, sa Microsoft Active Directory, na primjer, meta napada u 9 od 10 incidenata. Osim toga, Kerberos je česta meta napadača, koji često traže “tikete”-tj. šifrirane kredencijale ili tokene za provjeru autentičnosti, koje koristi Kerberos protokol kao dokaz da su klijent ili uređaj autentifikovani na serveru.
Uspješnim pokušajem dupliciranja tiketa napadači dobijaju pristup zaštićenim resursima na ograničeno vrijeme, obično reda nekoliko sati, omogućavajući im da se kreću po korporativnoj mreži ili koriste SSO usluge poput email-a koje mogu biti zaštićene Kerberos kredencijalima.
Bouncing i Silver Tickets-i
U prvom napadu, nazvanom Bounce the Ticket napad, napadač koji je kompromitovao sistem jednog korisnika i koji ukrade Kerberos tiket iz memorije mašine onda može koristiti tajni ključ za pristup radnim opterećenjima u Cloud-u. Ovaj napad je sličan on-premises napadu Pass the Ticket na Kerberos usluge provjere autentičnosti i daje napadu mogućnost “pristupa resursima baziranim na Cloud-u koji se oslanjaju na Azure AD Kerberos”, prema Silverfortovom istraživanju.
U drugom napadu, nazvanom Silver Jodid napad, napadač koji dobije pristup Azure AD nalogu jednog korisnika može se povezati na određenu uslugu, u primjeru koji je dao Silverfort Azure Files servis za dijeljenje u Cloud-u, nakon što pronađe “sigurnosnu prazninu” u službi. Sigurnosna slabost, koju Silverfort nije opisao, može se koristiti za kreiranje nove serverske karte za pristup ili manipulaciju informacijama. Tehnika, koja liči na napad Silver Ticket na lokalne Kerberos servere, mogla bi se koristiti i protiv drugih servisa u Cloud-u, sve dok napadači mogu pronaći načine da zaobiđu određene kontrole, naveo je Silverfort.
Nema prevencije
Sve u svemu, ova dva problema predstavljaju načine na koje napadač, koji je kompromitovao sistem na mreži ili Azure AD nalog, može da povrati Kerberos karte i ponovo iskoristi te tajne da proširi pristup drugoj infrastrukturi.
Silverfort je otkrio probleme Microsoft-u, a iako je kompanija svjesna slabosti, ne planira ih otkloniti, jer to nisu “tradicionalne” ranjivosti, kaže Segal. Microsoft je također potvrdio da ih kompanija ne smatra ranjivostima.
“Ova tehnika nije ranjivost, a da bi se uspješno koristila, potencijalnom napadaču će biti potrebna administrativna prava koja daju pristup podacima računa za skladištenje”, kaže glasnogovornik Microsofta Dark Reading-u. “Preporučujemo klijentima da redovno pregledaju svoje definicije uloga koje uključuju dozvole ‘listkeys’ i omoguće softver koji sprečava napadače da ukradu kredencijale, kao što je Credential Guard.”
Segal iz Silverforta priznaje da bi Kerberos protokol morao biti redizajniran da bi se riješili problemi, a to je malo vjerovatno.
„Ispravljanje slabosti u bilo kojoj implementaciji Kerberosa nije tako jednostavno kao krpljenje ranjivosti tradicionalnog softvera jer bi to zahtijevalo reinženjering cijelog protokola“, kaže on. “Ovo bi bio značajan poduhvat koji bi zauzeo veliku količinu resursa i uticao na kompatibilnost naslijeđenih aplikacija koje koriste Kerberos.”
Međutim, kompanije mogu otežati iskorištavanje bilo kakve sigurnosne slabosti u svojoj Kerberos infrastrukturi zasnovanoj na Cloud-u. Organizacije treba da pregledaju sve promjene u usluzi Azure Access Control i prate ažuriranja dozvola. Smanjenje broja sistema ovlašćenih da drže neke od kritičnijih akreditiva zasnovanih na oblaku, kao što je Ticket-Granting Ticket (TGT), će ojačati infrastrukturu preduzeća da odbije napade Ticket-a, navodi Silverfort u svom izveštaju.
Izvor: Dark Reading