Qu’est ce qu’une attaque Kerberoasting ?

Les menaces en cybersécurité continuent d’évoluer, et les attaques Kerberoasting sont devenues une préoccupation majeure pour les réseaux d’entreprise. Ces attaques ont connu une augmentation spectaculaire de 583 % au cours de l’année passée, représentant un risque considérable pour les organisations qui dépendent des systèmes d’authentification basés sur Windows.

Le terme “Kerberoasting” combine “Kerberos” — le protocole d’authentification nommé d’après le chien à trois têtes de la mythologie grecque — avec “roasting”, reflétant sa nature agressive dans la compromission de la sécurité des réseaux. Identifiée pour la première fois vers 2014, cette méthode d’attaque a attiré une attention renouvelée à mesure que les organisations se tournent vers l’infrastructure cloud tout en conservant des systèmes hérités.

Le Kerberoasting est une technique d’attaque sophistiquée post-exploitation qui cible les comptes de service au sein des environnements Active Directory en exploitant les vulnérabilités du protocole d’authentification Kerberos. Cette attaque basée sur l’identité permet aux acteurs malveillants d’obtenir les hachages de mots de passe des comptes Active Directory associés aux noms principaux de service (SPNs), qui peuvent ensuite être crackés hors ligne pour révéler les identifiants en texte clair.

Les attaques Kerberoasting sont particulièrement préoccupantes car tout utilisateur authentifié du domaine peut demander des tickets de service Kerberos pour n’importe quel service sur le réseau, indépendamment de son autorisation à accéder à ce service. Ce qui les rend particulièrement dangereuses, c’est leur nature furtive et leur efficacité. L’attaque se déroule entièrement dans les workflows d’authentification légitimes, ce qui la rend difficile à détecter par les mesures de sécurité traditionnelles.

Une fois qu’un attaquant obtient un ticket de service, il peut travailler hors ligne pour cracker le hachage du mot de passe en utilisant des techniques de brute force, évitant ainsi les alertes de détection, les journaux ou les verrouillages de compte. Cette capacité hors ligne, combinée à l’absence de malwares dans la chaîne d’attaque, rend de nombreuses technologies de défense traditionnelles inefficaces pour identifier et stopper ces attaques.

Kerberos, la principale cible des attaques Kerberoasting, est un protocole d’authentification réseau robuste développé par le MIT. Il sert de technologie d’autorisation par défaut dans les environnements Windows modernes ainsi que sur de nombreuses autres plateformes. Le protocole utilise la cryptographie à clé secrète et un système tiers appelé le Key Distribution Center (KDC) pour vérifier de manière sécurisée les identités des utilisateurs et authentifier les applications client-serveur.

Plutôt que de transmettre des mots de passe à travers le réseau, Kerberos utilise des clés privées cryptées et une cryptographie à clé secrète limitée dans le temps pour établir des communications sécurisées. Le processus d’authentification repose sur un système sophistiqué basé sur des tickets où le Key Distribution Center gère trois composants clés : une base de données, un serveur d’authentification (AS) et un serveur d’attribution de tickets (TGS). Lorsqu’un utilisateur tente d’accéder à des ressources réseau, le système délivre des tickets cryptés qui vérifient son identité sans transmettre les identifiants réels à travers le réseau.

Cette approche garantit une authentification mutuelle, où à la fois le client et le serveur vérifient l’identité de l’autre, empêchant ainsi efficacement les tentatives d’usurpation d’identité et les attaques de type “adversary-in-the-middle”. La fonctionnalité de connexion unique (SSO) du protocole et sa nature indépendante de la plateforme en font un outil particulièrement précieux pour les grands réseaux d’entreprise, bien que les environnements cloud modernes présentent de nouveaux défis pour les implémentations traditionnelles de Kerberos.

Une attaque Kerberoasting se déroule en plusieurs phases distinctes, commençant par un accès initial au réseau et se terminant par l’extraction des mots de passe. L’attaque débute lorsqu’un acteur malveillant obtient l’accès à n’importe quel compte d’utilisateur authentifié dans le domaine. À partir de ce point d’accès, l’attaquant identifie les comptes de service avec des SPN, qui deviennent les cibles principales de l’exploitation.

Séquence de l’attaque :

• Accès initial : Obtenir les identifiants pour un compte d’utilisateur dans le domaine
• Reconnaissance : Énumérer les comptes de service avec des SPN
• Demande TGS : Demander des tickets de service au contrôleur de domaine
• Extraction du ticket : Capturer les tickets TGS cryptés à l’aide d’outils comme Rubeus ou Mimikatz
• Crackage hors ligne : Tenter de cracker les mots de passe des comptes de service

Exécution technique

Le contrôleur de domaine génère ces tickets cryptés avec le hachage NTLM du mot de passe du compte de service cible, sans vérifier si l’utilisateur qui fait la demande a réellement les permissions nécessaires pour accéder au service. L’efficacité de l’attaque réside dans sa capacité à fonctionner dans le cadre des workflows d’authentification légitimes—le contrôleur de domaine traite ces demandes de tickets comme des opérations Kerberos normales.

Outils de craquage de mots de passe

• Hashcat : Optimisé pour le craquage de mots de passe à haute vitesse basé sur GPU
• John the Ripper : Spécialisé dans les attaques par dictionnaire
• Impacket : Utilisé pour la manipulation et l’extraction de tickets

La phase de craquage hors ligne rend l’attaque particulièrement dangereuse, car elle contourne les mesures de sécurité comme les verrouillages de comptes et les systèmes de surveillance traditionnels. Le taux de succès augmente considérablement lorsque l’attaque cible des comptes de service avec des mots de passe faibles ou ceux configurés avec l’option “le mot de passe n’expire jamais”, ce qui suit souvent des directives de sécurité obsolètes.

Les attaques Kerberoasting représentent des risques graves pour la sécurité organisationnelle, avec des pertes financières qui peuvent atteindre des proportions significatives.

Le groupe de ransomware BlackSuit a démontré cela en exploitant avec succès les identifiants des comptes de service pour obtenir un accès réseau élevé. De la même manière, les campagnes de Kerberoasting du groupe de ransomware Akira ont impacté 250 organisations à travers le monde, entraînant des paiements de rançon s’élevant à 42 millions de dollars.

Principaux risques organisationnels

• Mouvement latéral : Les attaquants exploitent les comptes de service compromis pour traverser les réseaux et accéder à des données sensibles et à la propriété intellectuelle.
• Élévation de privilèges : Les acteurs malveillants peuvent élever leur accès au niveau d’administrateur de domaine, prenant ainsi le contrôle total des domaines Active Directory.
• Compromission de l’infrastructure : Les organisations font face à des violations complètes de leur infrastructure, affectant à la fois les systèmes cloud et les systèmes hérités.

Incidents de sécurité notables

• Opération Wocao : Des acteurs malveillants basés en Chine ont utilisé le module Invoke-Kerberoast de PowerSploit pour compromettre des comptes de service Windows et maintenir un accès persistant aux systèmes ciblés.
• Campagne Carbon Spider : Les attaquants ont utilisé Rubeus pour effectuer un Kerberoasting afin de récupérer des hachages AES, complétant leur attaque en seulement deux heures et réussissant à chiffrer des domaines entiers.
• Violation de l’OPM : Des acteurs malveillants ont exploité des comptes de service compromis pour accéder aux dossiers d’enquête de fond de millions d’employés fédéraux, maintenant un accès non détecté pendant des mois.

La nature furtive de ces attaques aggrave leur impact, car l’infrastructure héritée et le bruit normal d’authentification rendent la détection particulièrement difficile. Les organisations font souvent face à des périodes prolongées de compromission non détectée, entraînant une exposition continue des données et des violations potentielles des réglementations de conformité.

Les organisations doivent mettre en place plusieurs couches de défense pour se protéger contre les attaques Kerberoasting. Une stratégie de sécurité complète combine des politiques de protection des mots de passe, une surveillance continue et des mesures d’authentification avancées pour créer une défense efficace contre ces menaces sophistiquées.

Contrôles de sécurité essentiels :

• Mettre en œuvre des politiques de mots de passe forts pour les comptes de service, avec des mots de passe d’au moins 25 caractères, comprenant des combinaisons complexes de lettres, de chiffres et de caractères spéciaux. Des programmes de rotation régulière des mots de passe doivent être maintenus sans exception.
• Déployer des solutions de gestion des accès privilégiés (PAM) pour faire tourner automatiquement les identifiants des comptes de service et gérer l’accès aux comptes privilégiés. Cette approche élimine le risque lié aux identifiants statiques à long terme.
• Activer les politiques d’audit avancées pour surveiller les demandes de tickets TGS et mettre en place des alertes en temps réel pour les modèles d’authentification Kerberos suspects. Configurer les journaux pour identifier les demandes de tickets de service inhabituelles.
• Restreindre les comptes de service aux privilèges minimums requis et auditer régulièrement les configurations SPN pour supprimer les affectations inutiles. Limiter le nombre de comptes ayant des SPN enregistrés.

Mesures de protection avancées :

• Mettre en œuvre des comptes de service gérés par groupe (gMSA) pour automatiser la gestion des mots de passe et éliminer le besoin de mots de passe statiques pour les comptes de service. Ces comptes gérés offrent une sécurité renforcée grâce à la rotation automatique des identifiants.
• Déployer l’authentification multifactorielle (MFA) pour tous les accès privilégiés, y compris la gestion des comptes de service et les fonctions administratives. Exiger des facteurs d’authentification supplémentaires pour les opérations sensibles.
• Utiliser le groupe de sécurité “Protected Users” de Microsoft pour empêcher l’utilisation de types de chiffrage plus faibles lors de la pré-authentification Kerberos. Cette mesure augmente considérablement la complexité des tentatives de craquage des mots de passe.
• Employer les services de certificats Active Directory (AD CS) pour l’authentification des services lorsque cela est possible, réduisant ainsi la dépendance aux méthodes d’authentification basées sur des mots de passe. L’authentification basée sur des certificats offre un contrôle de sécurité plus robuste.

Les attaques Kerberoasting représentent une menace en constante évolution pour la sécurité des entreprises, exploitant les mécanismes d’authentification fondamentaux sur lesquels les organisations comptent quotidiennement.

Comprendre ces attaques est essentiel, car les acteurs malveillants continuent d’exploiter des techniques sophistiquées pour compromettre les comptes de service et obtenir un accès non autorisé aux systèmes critiques. La complexité croissante des environnements hybrides et de l’infrastructure cloud n’a fait qu’amplifier l’impact potentiel de ces attaques.

Les organisations doivent adopter une position proactive en mettant en œuvre des mesures de sécurité complètes. Des évaluations régulières de la sécurité, couplées à des formations continues du personnel sur les menaces émergentes, créent une base solide pour se défendre contre le Kerberoasting et des vecteurs d’attaque similaires.

Les stratégies modernes de détection exploitent plusieurs sources de données et techniques de surveillance pour identifier les activités potentielles de Kerberoasting. Les outils de sécurité avancés analysent les modèles d’authentification et les demandes de tickets de service afin de repérer les comportements suspects avant que les attaquants ne parviennent à compromettre les comptes de service avec succès.

Voici quelques-unes des méthodes et technologies de détection les plus courantes du Kerberoasting :

• Analyse des journaux d’événements : Surveiller les journaux d’ID d’événement 4769 pour des demandes de tickets TGS inhabituelles et des modèles d’utilisation de cryptage RC4-HMAC (Type 0x17).
• Technologie de déception : Déployer des honeypots Kerberoasting avec des services attractifs mais inexistants pour piéger les attaquants potentiels.
• Surveillance réseau : Mettre en œuvre des outils d’analyse du trafic réseau comme Zeek pour surveiller les activités du protocole Kerberos et les tentatives d’authentification.
• Security Information and Event Management (SIEM) : Corréler les événements liés à Kerberos à travers plusieurs systèmes et points d’authentification.
• Suivi des identités : Déployer des outils de sécurité des identités pour reconnaître les risques liés à l’infrastructure des identités et les modèles d’accès inhabituels à un stade précoce.
• Analyse comportementale : Mettre en place des systèmes de détection basés sur le comportement pour identifier les anomalies dans les demandes de tickets de service.
• Surveillance des commandes : Suivre les activités suspectes de PowerShell et les demandes d’identifiants via une journalisation complète d’Active Directory.
• Détection des terminaux : Utiliser des capacités de chasse aux menaces avancées pour identifier les tentatives de compromission au niveau des terminaux.

Une détection efficace repose sur une configuration appropriée des mécanismes de journalisation et sur la surveillance continue des modèles d’authentification.

Proofpoint Identity Protection offre une protection complète contre les attaques basées sur l’identité, telles que le Kerberoasting, grâce à des capacités avancées de détection et de réponse aux menaces. La solution assure une surveillance continue des modèles d’authentification, des réponses automatisées aux activités suspectes et une visibilité détaillée des menaces liées à l’identité à travers des environnements hybrides.

En combinant l’apprentissage automatique avec l’analyse comportementale, Proofpoint aide les organisations à détecter et à prévenir le vol d’identifiants tout en fournissant des contrôles d’authentification adaptatifs qui protègent les comptes de service contre des techniques d’attaque sophistiquées.