Abuso de Kerberos para la escalada de privilegios locales



Como el principal protocolo de autenticación para las redes empresariales de Home windows, Kerberos ha sido durante mucho tiempo un campo de juego favorito para los investigadores de seguridad y los ciberdelincuentes. Si bien el enfoque se ha centrado en atacar la autenticación de Kerberos para llevar a cabo explotaciones remotas y ayudar en el movimiento lateral a través de la pink, una nueva investigación explora cómo se puede abusar de Kerberos con gran efecto al llevar a cabo una variedad de ataques de escalada de privilegios locales (LPE).

En la conferencia Black Hat Usa de esta semana en Las Vegas, James Forshaw, investigador de seguridad de Google Undertaking Zero, y Nick Landers, jefe de investigación y desarrollo contradictorio de NetSPI, planean llevar la discusión sobre seguridad más allá de Kerberoasting y discusiones sobre ataques de boletos dorados/ plateados que han dominado la investigación de seguridad de Kerberos en los últimos años. En la sesión»Elevando Kerberos al siguiente nivel,» Forshaw y Landers explorarán las omisiones de autenticación, los escapes de sandbox y la ejecución de código arbitrario en procesos privilegiados.

«James y yo pasamos mucho tiempo investigando las partes internas de Windows, y Kerberos es essential para la autenticación de purple entre los sistemas de Home windows. Sin embargo, la mayor parte de la investigación y las herramientas existentes que he realizado se centran en la explotación remota, ignorando las superficies de ataque que existen solo en una máquina nearby», dice Landers, quien explicó por qué la pareja decidió profundizar en las fallas de diseño en la forma en que Kerberos realiza la autenticación regional. «A través de esto, hemos descubierto muchas fallas interesantes, algunas corregidas y otras no, que nos complace compartir el miércoles, junto con las herramientas que hemos creado y el conocimiento que hemos adquirido en los últimos meses».

Las herramientas ayudarán a otros en la comunidad de investigación de seguridad a inspeccionar y manipular Kerberos en los sistemas locales para aprovechar la investigación de la pareja. El dúo también ofrecerá algunos consejos importantes de detección y configuración para ayudar a los profesionales de la seguridad a mitigar el riesgo de las fallas que presentarán.

Desde una perspectiva más amplia, Landers espera que su charla pueda ayudar a llamar más la atención sobre Kerberos en todo el mundo de la seguridad. Él dice que aunque es la solución a largo plazo recomendada para la autenticación de purple en el entorno de Home windows, reemplazando protocolos obsoletos como NetNTLM, los equipos de seguridad no deben asumir que es más seguro por defecto que los predecesores.

«Kerberos mantiene un conjunto de funciones extremadamente grande, que continúa creciendo cada año. La funcionalidad oscura diseñada por primera vez en 1998, así como el nuevo código diseñado para Windows 11, pueden proporcionar superficies de ataque matizadas para LPE, omisiones de seguridad o incluso RCE. ,» él dice. «Donde hay más características para buscar, siempre hay una mayor oportunidad de descubrir fallas».

Además de ofrecer pasos prácticos de mitigación, espera que la charla estimule a los administradores de redes y seguridad a repasar sus conocimientos de Kerberos para fortalecer mejor sus sistemas.

«Los administradores deben familiarizarse más con Kerberos para poder aplicar las mejores prácticas de mitigación de manera efectiva. Específicamente, ya que constantemente vemos que el conocimiento de los atacantes supera al de los defensores cuando se trata de las funciones internas de Kerberos», dice.

Su charla será una de varias investigaciones reveladoras relacionadas con la gestión de acceso e identidad que se presentarán en Black Hat esta semana. Algunas discusiones para explorar incluyen cómo las implementaciones de IAM en la nube híbrida están dejando fallas abiertas y configuraciones erróneas listas para el ataque y la forma en que los atacantes pueden utilizar la PII robada para facilitar la realización de ataques de smishing.



Enlace a la noticia unique