Ataque Golden Ticket y cómo mitigarlo

El ataque Golden Ticket, una subtécnica de los boletos Kerberos Rob or Forge: Golden Ticket (T1558.001) en el marco MITRE ATT&CK, representa una amenaza para los entornos de TI en todo el mundo. Esta técnica de ataque puede comprometer toda una red, otorgando acceso amplio y no autorizado a los recursos del dominio. 

Hoy queremos profundizar en las complejidades de esta estrategia de ataque, proporcionando un examen en a detalle de cómo opera con dos herramientas diferentes de código abierto (Impacket y Mimikatz), sus posibles impactos y las sugerencias de detección y mitigación que las organizaciones pueden implementar para proteger sus sistemas. 

¿Qué es el ataque Golden Ticket? 

Un ataque Golden Ticket es una técnica en la que un actor malintencionado manipula el protocolo de autenticación Kerberos utilizado en las redes de Windows para obtener acceso sin restricciones a todo el dominio de una organización, incluidos dispositivos, archivos y controladores de dominio.  

Cuando tiene éxito, este método permite a personas no autorizadas explotar la cuenta KRBTGT, un componente crítico del sistema Kerberos responsable del cifrado y la firma de todos los tickets de dominio. 

Los atacantes primero violan el sistema, luego escalan sus privilegios a los de un administrador de dominio, lo que les permite extraer el NTHash de la cuenta KRBTGT e identificar el id de seguridad (SID) del dominio. Equipados con esta información, los atacantes crean un “Golden Ticket”, un ticket Kerberos falsificado que funciona como un ticket de concesión de tickets (TGT) legítimo, a menudo replicando los privilegios del administrador del dominio.  

La potencia de este etaque radica en su capacidad para proporcionar a los atacantes un acceso extenso y duradero a la red, eludiendo efectivamente las comprobaciones de autenticación estándar. La durabilidad del ataque se debe a su distorsión fundamental del sistema Kerberos, que sigue siendo potente incluso después de los cambios en la contraseña KRBTGT. Para anular completamente un ataque activo de Golden Ticket, la contraseña KRBTGT debe modificarse dos veces. 

Técnicas de mitigación para el ataque Golden Ticket 

Para protegerse contra los ataques Kerberoasting, se recomienda tomar medidas para limitar el acceso de los adversarios y dificultarles la obtención del hash de contraseña del usuario KRBTGT. Esto se puede lograr mediante las siguientes acciones: 

Técnica de mitigación 1: Restringir los privilegios de administrador a través de los límites de seguridad 

Las organizaciones no deben permitir que los usuarios posean privilegios de administrador más allá de los límites de seguridad. Por ejemplo, un atacante que obtiene acceso a una estación de trabajo no debería poder escalar sus privilegios para apuntar al administrador de dominio. 

Técnica de mitigación 2: Minimizar privilegios elevados 

Las cuentas de servicio con altos privilegios, como administradores de dominio, deben otorgarse sólo cuando sea necesario. Al limitar la cantidad de estas cuentas, las organizaciones pueden reducir la cantidad de objetivos para un atacante que busca el hash KRBTGT. 

Técnica de mitigación 3: Cambiar periódicamente la contraseña de la cuenta KRBTGT 

Es importante cambiar la contraseña del usuario de KRBTGT periódicamente e inmediatamente después de cualquier cambio en el personal responsable de la administración de Active Directory. La contraseña debe cambiarse dos veces, con un intervalo de 12 a 24 horas entre los dos cambios, para evitar interrupciones en el servicio. 

Si bien, existen múltiples herramientas que pueden ayudarte a evaluar tus controles de seguridad, muchas empresas no están seguras de por dónde comenzar a reforzar la seguridad de sus activos. Acércate a TrustDimension, ya que a través de nuestro ecosistema de socios, podemos asesorarte en cualquier brecha de seguridad que estés detectando o incluso ayudarte a detectarlas.  

Fuente: Picussecurity.com