Kerberos ist ein weit verbreitetes Authentifizierungsprotokoll, das in vielen Netzwerken, insbesondere in Windows-Umgebungen und Active Directory, eingesetzt wird. Es bietet eine sichere Methode, Benutzer und Dienste über unsichere Netzwerke zu authentifizieren. Allerdings ist es nicht gegen Angriffe immun. Hier sind einige der bekanntesten Angriffsmethoden auf Kerberos:
Welche bekannten Angriffsmethoden gibt es auf Kerberos?
1. Pass-the-Ticket (PtT)
- Beschreibung: Der Angreifer stiehlt ein gültiges Kerberos-Ticket (z.B. ein Ticket Granting Ticket, TGT oder Service Ticket, ST) von einem authentifizierten Benutzer und verwendet es, um auf Ressourcen zuzugreifen, ohne das eigentliche Passwort zu kennen.
- Funktionsweise: Der Angreifer muss zuerst Zugriff auf das System des Opfers erhalten, um das Ticket zu extrahieren. Anschließend kann er das gestohlene Ticket auf einem anderen System „wiederverwenden“, um sich erfolgreich als der Benutzer zu authentifizieren.
- Sicherheitsvorteil: Kerberos-Tickets haben eine begrenzte Lebensdauer, aber ein gestohlenes Ticket bleibt gültig, bis es abläuft.
- Gegenmaßnahmen: Verwendung von Kerberos Ticket Encryption mit starkem Verschlüsselungsalgorithmus, Implementierung von Ticket-Lifetimes und Session Locking, Multi-Faktor-Authentifizierung (MFA).
2. Pass-the-Hash (PtH)
- Beschreibung: Pass-the-Hash ist nicht spezifisch für Kerberos, betrifft aber oft Kerberos-Umgebungen, insbesondere in Windows. Der Angriff basiert darauf, dass der Angreifer den NTLM-Hash eines Passworts stiehlt und diesen zur Authentifizierung verwendet, ohne das Klartext-Passwort kennen zu müssen.
- Funktionsweise: Der Angreifer extrahiert den Hash des Benutzerpassworts und verwendet diesen, um auf Netzwerkressourcen zuzugreifen. Obwohl Kerberos primär verwendet wird, kann es auf Windows-Systemen dazu kommen, dass die NTLM-Authentifizierung weiterhin aktiv ist.
- Gegenmaßnahmen: Deaktivierung von NTLM, Einsatz von Credential Guard und LAPS (Local Administrator Password Solution) in Windows-Umgebungen.
3. Golden Ticket
- Beschreibung: Der Golden Ticket-Angriff ist einer der schwerwiegendsten Angriffe auf Kerberos. Ein Angreifer erstellt ein gefälschtes Ticket Granting Ticket (TGT) für den Kerberos-Dienstkonto krbtgt. Mit einem gefälschten TGT kann der Angreifer sich als jede beliebige Identität in der Domäne ausgeben und auf jede Ressource zugreifen.
- Funktionsweise: Der Angreifer muss zuerst den Hash des Kerberos-Dienstkontos (krbtgt) kompromittieren, was typischerweise durch einen Angriff auf den Domain Controller geschieht. Mit dem krbtgt-Hash kann der Angreifer dann beliebige TGTs für sich selbst generieren und auf jede Ressource im Netzwerk zugreifen.
- Gegenmaßnahmen: Regelmäßiges Zurücksetzen des krbtgt-Konto-Passworts, Überwachung auf ungewöhnliche Aktivitäten und Authentifizierungsvorgänge, Einsatz von MFA.
4. Silver Ticket
- Beschreibung: Im Silver Ticket-Angriff erstellt der Angreifer gefälschte Service Tickets (TGS), um auf spezifische Dienste in einer Domäne zuzugreifen, ohne die Authentifizierung über den Domain Controller zu durchlaufen.
- Funktionsweise: Der Angreifer muss zuerst den Hash des Dienstkontos extrahieren (z.B. den Hash eines spezifischen Dienstes wie SQL Server oder des Computers). Mit diesem Hash kann der Angreifer ein gefälschtes Service Ticket erstellen und sich als legitimierter Benutzer ausgeben, um den Dienst direkt anzugreifen.
- Gegenmaßnahmen: Starke Überwachung der Netzwerkaktivitäten, regelmäßiges Ändern der Dienstkonto-Passwörter, Einsatz von Kerberos Ticket Encryption.
5. Kerberoasting
- Beschreibung: Kerberoasting ist eine Angriffsmethode, bei der Angreifer Service Tickets (TGS) extrahieren und offline versuchen, die Passwörter von Dienstkonten durch Brute-Force-Angriffe zu knacken.
- Funktionsweise: Der Angreifer fordert ein Service Ticket für ein bestimmtes Dienstkonto an. Dieses Ticket ist mit dem Hash des Passworts des Dienstkontos verschlüsselt. Der Angreifer kann das Ticket offline analysieren und versuchen, das Passwort zu knacken, um Zugriff auf das Dienstkonto zu erhalten.
- Gegenmaßnahmen: Starke Passwörter für Dienstkonten, regelmäßiges Ändern der Dienstkontopasswörter, Einsatz von Managed Service Accounts (MSAs) oder Group Managed Service Accounts (gMSAs), Erkennung und Überwachung von verdächtigen Service-Ticket-Anforderungen.
6. Overpass-the-Hash (Pass-the-Key)
- Beschreibung: Ähnlich wie Pass-the-Hash verwendet Overpass-the-Hash (oder Pass-the-Key) das Passwort-Äquivalent des Benutzers, um Zugriff auf Kerberos-Dienste zu erhalten. Statt den NTLM-Hash zu verwenden, nutzt der Angreifer den Kerberos-Schlüssel (Key), um Zugriff zu erhalten.
- Funktionsweise: Der Angreifer stiehlt den Kerberos-Schlüssel aus einem kompromittierten System und verwendet diesen, um sich gegenüber einem Kerberos Key Distribution Center (KDC) zu authentifizieren.
- Gegenmaßnahmen: Schutz der Kerberos-Schlüssel, Einsatz von Credential Guard und regelmäßiges Zurücksetzen von sensiblen Kontopasswörtern.
7. Brute-Force auf AS-REP (AS-REP Roasting)
- Beschreibung: Bei einem AS-REP Roasting-Angriff nutzt der Angreifer Benutzerkonten, die für die Pre-Authentication deaktiviert sind, um verschlüsselte Authentifizierungsantworten (AS-REPs) zu erhalten und diese offline zu knacken.
- Funktionsweise: Kerberos sendet, wenn die Pre-Authentication deaktiviert ist, einen verschlüsselten AS-REP (basierend auf dem Benutzerpasswort) ohne vorherige Prüfung zurück. Angreifer können diesen AS-REP abfangen und versuchen, das Passwort durch Brute-Force-Angriffe zu entschlüsseln.
- Gegenmaßnahmen: Pre-Authentication für alle Benutzerkonten aktivieren, Überwachung und Begrenzung von Anmeldeversuchen, komplexe Passwortregeln erzwingen.
8. Ticket Granting Ticket (TGT) Renewal Abuse
- Beschreibung: Kerberos erlaubt die Erneuerung von TGTs, um die Notwendigkeit eines erneuten Anmeldeprozesses zu vermeiden. Ein Angreifer, der ein TGT gestohlen hat, könnte dieses immer wieder erneuern, um langfristig Zugriff zu behalten.
- Funktionsweise: Sobald ein Angreifer Zugriff auf ein gültiges TGT hat, könnte er es vor Ablaufzeit erneuern und somit ohne erneute Authentifizierung Zugang zu Netzwerken und Diensten behalten.
- Gegenmaßnahmen: Die Lebensdauer von TGTs begrenzen und sicherstellen, dass nach Ablauf eine erneute Authentifizierung erforderlich ist.
9. Weak Encryption Attacks (RC4-HMAC Vulnerabilities)
- Beschreibung: Einige Kerberos-Implementierungen verwenden schwache Verschlüsselungsalgorithmen wie RC4-HMAC, die anfällig für Kryptoanalyse und Angriffe sind.
- Funktionsweise: Ein Angreifer, der Zugriff auf verschlüsselte Kerberos-Tickets oder Nachrichten erhält, könnte versuchen, den RC4-HMAC-Algorithmus zu brechen, um das Ticket zu entschlüsseln oder zu manipulieren.
- Gegenmaßnahmen: Die Verwendung moderner und starker Verschlüsselungsalgorithmen wie AES für die Kerberos-Authentifizierung und Ticketverschlüsselung.
10. Replay-Angriffe
- Beschreibung: Replay-Angriffe zielen darauf ab, zuvor abgefangene Authentifizierungsnachrichten erneut zu verwenden, um Zugang zu erhalten. Kerberos schützt normalerweise vor Replay-Angriffen, indem es Zeitstempel in seine Tickets integriert.
- Funktionsweise: Ein Angreifer kann versuchen, authentifizierte Nachrichten oder Tickets abzufangen und sie später zu verwenden, bevor sie ablaufen. Wenn der Zeitabgleich auf Servern falsch konfiguriert ist, könnte dies zu einer Schwachstelle führen.
- Gegenmaßnahmen: Sicherstellen, dass alle Systeme synchronisierte Uhren haben (z.B. durch NTP), um den Schutz vor Replay-Angriffen zu gewährleisten.