07 Кві, 2023

Керберос

Penetration Testing as a service (PTaaS)

Tests security measures and simulates attacks to identify weaknesses.

Керберос це мережевий протокол аутентифікації, призначений для забезпечення безпечної аутентифікації клієнт / серверних додатків з використанням шифрування з секретним ключем. Він був розроблений Массачусетським технологічним інститутом і широко використовується в корпоративних середовищах для надання безпечних служб аутентифікації та авторизації. Kerberos використовує модуль сторонній сервер аутентифікації, відомий як Центр розповсюдження ключів (KDC), для автентифікації користувачів та надання їм доступу до мережевих ресурсів. Протокол призначений для запобігання підслуховування, повторних атак і інших типів мережних атак з використанням надійної криптографії і надійних серверів.

Загальні порти Kerberos

TCP/UDP 88: Протокол аутентификації Kerberos

TCP/UDP 464: Протокол зміни /установки пароля Kerberos (kpasswd) (використовується при зміні паролів користувачів)

Інструменти для використання протоколу Керберос

Ручні Інструменти:

  • Kerberos Client Tool (Klist): Інструмент командного рядка, який відображає вміст кешу заявок Kerberos і дозволяє користувачам видаляти заявки.

  • Kerberos Ticket Viewer (Ktutil): Інструмент командного рядка для керування клавішами Kerberos і кэшами квитків.

  • Kerberos Authentication Debugger (Kadmind)): Інструмент командного рядка для усунення проблем з аутентифікацією Kerberos в системах Unix.

  • Wireshark: Аналізатор мережевих протоколів, який може використовуватися для збору і аналізу мережевого трафіку Kerberos.

  • Tcpdump: Інструмент командного рядка, який можна використовувати для збору і аналізу мережевого трафіку Kerberos.

  • Kerberos Analyzer (Krb5trace): Інструмент командного рядка для аналізу мережевого трафіку Kerberos.

Автоматизовані інструменти:

  • MIT Kerberos Test Suite: Набір автоматизованих тестів для Kerberos, які можуть бути використані для перевірки функціональності реалізації Kerberos.

  • Kerberos Bruteforcer (KerbCrack): Інструмент для злому паролів, який використовує методи грубої сили для злому паролів Kerberos.

  • Kerberoast: Інструмент для вилучення хешей облікових записів служб Kerberos з контролерів домену Active Directory.

  • Impacket: Колекція класів Python для роботи з мережевими протоколами, включаючи Kerberos.

  • Mimikatz: Інструмент після експлуатації, який можна використовувати для отримання квитків Kerberos та інших облікових даних з зламаної системи Windows.

  • CrackMapExec: Інструмент після експлуатації, який можна використовувати для отримання квитків Kerberos та інших облікових даних з зламаної системи Windows.

  • Responder: Інструмент для виконання атак на мережеві служби ізгоїв, включаючи атаки Kerberos.

  • Kerberos Thing-A-Ma-Jig (ktaj): Інструмент для тестування конфігурацій Kerberos і учасників служби.

  • Kerberos SSO (SSOCheck): Інструмент для тестування конфігурацій єдиного входу (SSO) з використанням аутентифікації Kerberos.

  • BloodHound: Інструмент для аналізу середовищ Active Directory, включаючи конфігурації Kerberos.

  • Kerberos-Induced Failures (KIF): Інструмент для тестування стійкості конфігурацій Kerberos до різних атак.

  • Kerberos Scan (Kscan): Інструмент для сканування мереж на наявність служб Kerberos і вразливостей.

  • Kerberos Authentication Tester (KAT): Інструмент для тестування механізмів аутентифікації і авторизації реалізацій Kerberos.

  • Kerberos Security Analyzer (KSA): Інструмент для аналізу конфігурацій безпеки Kerberos і виявлення потенційних вразливостей.

  • Kerberos Recon (Krecon): Інструмент для виконання розвідки конфігурацій Kerberos і учасників служби.

Останні п'ять відомих CVE для Керберос

• CVE-2023-27536: An authentication bypass vulnerability exists libcurl <8.0.0 in the connection reuse feature which can reuse previously established connections with incorrect user permissions due to a failure to check for changes in the CURLOPT_GSSAPI_DELEGATION option. This vulnerability affects krb5/kerberos/negotiate/GSSAPI transfers and could potentially result in unauthorized access to sensitive information. The safest option is to not reuse connections if the CURLOPT_GSSAPI_DELEGATION option has been changed. 

• CVE-2023-23749: Розширення 'LDAP Інтеграція з Active Directory і OpenLDAP – NTLM & Kerberos Login' вразливе для впровадження LDAP, оскільки неправильно очищає параметр POST 'username'. Зловмисник може маніпулювати цим параметром для скидання довільного вмісту бази даних LDAP. 

• CVE-2023-21817: Вразливість з підвищенням привілеїв Windows Kerberos 

• CVE-2022-47508: Клієнти, налаштували свій опитування на використання Kerberos, не очікували трафіку NTLM у своєму середовищі, але оскільки ми запитували дані через IP-адресу, це завадило нам використовувати Kerberos. 

• CVE-2022-45141: Синтаксичний аналіз PAC у MIT Kerberos 5 (він же krb5) до 1.19.4 і 1.20.x до 1.20.1 має переповнення цілих чисел, які можуть призвести до віддаленого виконання коду (в KDC, kadmind або сервері додатків GSS або Kerberos) на 32-розрядних платформах (які мають результуюче переповнення буфера на основі купи) і викликати відмову в обслуговуванні на інших платформах. Це відбувається в krb5_pac_parse в lib/krb5/krb/pac.c. Heimdal до того, як у 7.7.1 з'явилася "аналогічна помилка". 

Корисна інформація

– Kerberos - це мережевий протокол аутентифікації, який забезпечує надійну аутентифікацію для клієнт-серверних додатків.

– Він призначений для забезпечення безпечної аутентифікації в мережевому середовищі, де користувачі отримують доступ до мережевих служб з декількох пристроїв.

– Kerberos використовує криптографію з симетричним ключем для захисту зв'язку між клієнтами і серверами.

– Протокол використовує довірену третю сторону, відому як Центр розподілу ключів (KDC), для видачі облікових даних аутентифікації і управління ними.

– Kerberos забезпечує взаємну аутентифікацію, при якій і клієнт, і сервер засвідчують особистість одне одного, а потім встановлюють безпечний сеанс.

– Kerberos надає функціональність єдиного входу (SSO), що означає, що після аутентифікації користувача в мережі йому не потрібно повторно надавати свої облікові дані при доступі до інших ресурсів.

– Протокол Kerberos широко використовується в корпоративних середовищах і підтримується більшістю операційних систем, включаючи Windows, Linux і macOS.

– Kerberos вразливий для ряду атак, таких як атаки методом перебору, повторні атаки і атаки типу "людина посередині". Щоб знизити ці ризики, важливо слідувати рекомендаціям з налаштування та обслуговування Kerberos, а також підтримувати інфраструктуру Kerberos в актуальному стані з допомогою останніх виправлень безпеки.

– Існує ряд інструментів, доступних для тестування і аудиту реалізацій Kerberos, включаючи як ручні, так і автоматизовані інструменти. Ці інструменти можна використовувати для виявлення вразливостей в системі безпеки, неправильних налаштувань і інших проблем, які можуть піддати ризику інфраструктуру Kerberos.

– Деякі популярні інструменти для тестування Kerberos включають Kerbrute, Kerberoast, Mimikatz, Impacket, Crackmapexec, Bloodhound і Powerview. Ці інструменти використовуються фахівцями з безпеки для виявлення і використання слабких місць у автентифікації Kerberos, а також для перевірки ефективності засобів контролю безпеки Kerberos.

Книги для навчання Керберос

“Kerberos: The Definitive Guide” Джейсон Гарман – Ця книга являє собою вичерпне керівництво по протоколу Kerberos і його використання для безпечної мережевий аутентифікації.

“Kerberos: A Network Authentication System” Брайан Танг – У цій книзі докладно пояснюється протокол Kerberos, що охоплює різні компоненти, процеси і конфігурації, пов'язані з налаштуванням та використанням системи аутентифікації на основі Kerberos.

“Kerberos, Second Edition: The Definitive Guide” Джейсон Гарман, Рон Лепофски і Річард Сильверман – Це оновлене видання остаточного керівництва по Kerberos включає нову інформацію про останні розробки в протоколі та його використання в сучасних мережних середовищах.

“Kerberos: The Myth, The Legend, The Reality” автор Джейсон Гарман – Ця книга присвячена глибокого занурення в історію Kerberos, принципам її проектування та еволюції протягом багатьох років.

“Understanding Kerberos: A Quickstart Guide” автор: Ерік Фостер-Джонсон – Це короткий посібник містить введення в протокол Kerberos і його використання безпечної мережевий аутентифікації з практичними прикладами і поясненнями.

“Implementing Kerberos: The Definitive Guide” автор Кен Хорнстайн – У цій книзі представлено покрокове керівництво по впровадженню системи аутентифікації на основі Kerberos, включаючи детальну інформацію про налаштування серверів, клієнтів і додатків.

“Kerberos Authentication in a Windows Environment” Брайан Десмонд, Джо Річардс і Роббі Аллен – Ця книга присвячена автентифікації Kerberos в середовищах Windows і охоплює такі теми, як оформлення квитків Kerberos, делегування повноважень і усунення неполадок.

“Kerberos: A Guide to Authentication in an Open Network Environment” автор: Orielly and Associates – Це керівництво охоплює основи Kerberos, включаючи його історію, принципи проектування та ключові компоненти, а також практичні поради по впровадженню і використанню протоколу в реальних середовищах.

“Kerberos, GSS-API, and SASL: The Safe and Secure Way to Manage Network Identity” автор: Брайан Танг – У цій книзі представлений огляд протоколу Kerberos і його використання в захищеній мережевий аутентифікації, а також пов'язаних протоколів аутентифікації, таких як GSS-API і SASL.

“Kerberos Network Authentication Service” Чжунцзе Ба і Лоуренс Снайдер – Ця книга являє собою введення в протокол Kerberos і його використання безпечної мережевий аутентифікації з акцентом на практичну реалізацію та поради з усунення неполадок.

Список корисного навантаження для Керберос

Kerberoast: метод, використовуваний для витягання хешей тікетів Kerberos, що надають тікети (TGT), для автономних атак методом перебору.

Golden Ticket: атака Kerberos, яка дозволяє зловмисникові згенерувати підроблений Kerberos TGT і використовувати його для уособлення будь-якого користувача або комп'ютера в мережі.

Silver Ticket: атака Kerberos, яка дозволяє зловмисникові підробити службовий квиток для будь-служби без потреби знати пароль облікового запису служби.

Pass the Ticket: атака Kerberos, яка дозволяє зловмисникові повторно використовувати дійсний квиток Kerberos (TGT або ticket service) для доступу до інших ресурсів в мережі.

Overpass the Hash: метод, використовуваний для аутентифікації в якості облікового запису користувача або служби шляхом передачі підробленого хеша NTLM їх пароля в систему аутентифікації Kerberos.

Kerberos Relay: атака, яка перехоплює трафік Kerberos між клієнтом і сервером і передає його на інший сервер для отримання несанкціонованого доступу.

AS-REP Roasting: метод, використовуваний для витягання хешей Kerberos AS-REP для автономних атак методом перебору.

AS-REP Roasting with Rubeus: варіант атаки з повторним обсмажуванням з використанням інструменту Rubeus для вилучення хешей Kerberos AS-REP.

Kerberos Delegation: функція Kerberos, яка дозволяє службі видавати себе за користувача отримувати доступ до інших ресурсів від його імені, що може бути використана зловмисниками, якщо не настроєно належним чином.

Kerberos Extension DLL Injection: атака, яка впроваджує шкідливу бібліотеку DLL в процес аутентификації Kerberos для отримання несанкціонованого доступу.

Пом'якшення наслідків

  1. Регулярно оновлюйте і виправляйте сервери і клієнти Kerberos, щоб запобігти використання відомих вразливостей.

  2. Вбудуйте політики безпечного пароля, такі як суворі вимоги до паролю і часта зміна пароля, щоб запобігти атаки методом перебору облікових даних Kerberos.

  3. Використовуйте брандмауери і сегментацію мережі, щоб обмежити доступ до серверів Kerberos і звести до мінімуму наслідки будь-яких успішних атак.

  4. Вбудуйте багатофакторну аутентифікацію (MFA), щоб додати додатковий рівень безпеки для аутентифікації Kerberos.

  5. Відстежуйте журнали Kerberos і журнали аудиту на предмет підозрілих дій, таких як невдалі спроби входу в систему, незвичайні шаблони аутентифікації або несподіваний доступ до конфіденційних ресурсів.

  6. Використовуйте системи виявлення та запобігання мережевих вторгнень (IDS / IPS) для виявлення і блокування атак на Kerberos.

  7. Обмежте область дії служб Kerberos тільки тим, що необхідно для потреб організації, та вимкніть або видаліть всі непотрібні служби або функції Kerberos.

  8. Проводьте регулярні тренінги з питань безпеки для користувачів, щоб допомогти їм розпізнавати та уникати соціальних інженерних і фішингових атак, які можуть бути використані для компрометації облікових даних Kerberos.

Висновок

Kerberos - це широко використовуваний протокол аутентифікації, який забезпечує безпечний спосіб аутентифікації користувачів, служб і вузлів в мережі. Незважаючи на те, що він володіє потужними функціями безпеки, він як і раніше схильний таким атакам, як атаки методом перебору, повторні атаки і атаки з підбором пароля. Важливо впровадити належні заходи безпеки, такі як безпечні паролі і регулярна зміна паролів, щоб знизити ризики, пов'язані з Kerberos. Крім того, регулярний моніторинг і виправлення будь-яких відомих вразливостей мають вирішальне значення для забезпечення безпеки реалізації Kerberos.

Інші Послуги

Готові до безпеки?

зв'язатися з нами