Kerberoasting
¿Qué es Kerberoasting?
KerberoastingAtaque offline de contrasenas que solicita tickets de servicio Kerberos a cuentas de servicio y rompe la parte cifrada para recuperar la contrasena en claro.
Kerberoasting aprovecha que cualquier usuario autenticado del dominio puede pedir un TGS para cualquier SPN y que dicho ticket se cifra con el hash de la contrasena de la cuenta de servicio. El atacante enumera SPNs, solicita TGS (normalmente con Rubeus o Impacket GetUserSPNs), los exporta y los rompe offline con Hashcat o John the Ripper. Las cuentas de servicio con contrasenas debiles o no rotadas suelen caer en pocas horas. MITRE ATT&CK lo identifica como T1558.003 (Steal or Forge Kerberos Tickets: Kerberoasting). Las defensas incluyen contrasenas largas y aleatorias o gMSA para cuentas de servicio, Kerberos solo AES, evitar SPN en cuentas privilegiadas y alertar sobre peticiones masivas de TGS con cifrado RC4.
● Ejemplos
- 01
Ejecutar Rubeus kerberoast desde un usuario sin privilegios para obtener TGS y romperlos con Hashcat.
- 02
Detectar que un Domain Admin tiene un SPN con contrasena debil y escalar a compromiso del dominio.
● Preguntas frecuentes
¿Qué es Kerberoasting?
Ataque offline de contrasenas que solicita tickets de servicio Kerberos a cuentas de servicio y rompe la parte cifrada para recuperar la contrasena en claro. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Kerberoasting?
Ataque offline de contrasenas que solicita tickets de servicio Kerberos a cuentas de servicio y rompe la parte cifrada para recuperar la contrasena en claro.
¿Cómo funciona Kerberoasting?
Kerberoasting aprovecha que cualquier usuario autenticado del dominio puede pedir un TGS para cualquier SPN y que dicho ticket se cifra con el hash de la contrasena de la cuenta de servicio. El atacante enumera SPNs, solicita TGS (normalmente con Rubeus o Impacket GetUserSPNs), los exporta y los rompe offline con Hashcat o John the Ripper. Las cuentas de servicio con contrasenas debiles o no rotadas suelen caer en pocas horas. MITRE ATT&CK lo identifica como T1558.003 (Steal or Forge Kerberos Tickets: Kerberoasting). Las defensas incluyen contrasenas largas y aleatorias o gMSA para cuentas de servicio, Kerberos solo AES, evitar SPN en cuentas privilegiadas y alertar sobre peticiones masivas de TGS con cifrado RC4.
¿Cómo defenderse de Kerberoasting?
Las defensas contra Kerberoasting combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
● Términos relacionados
- identity-access№ 584
Kerberos
Protocolo de autenticación de red basado en tickets que utiliza criptografía simétrica y un Centro de Distribución de Claves de confianza para ofrecer inicio de sesión único seguro.
- identity-access№ 013
Active Directory
Servicio de directorio empresarial de Microsoft para redes Windows que ofrece autenticación, autorización y gestión de políticas centralizadas para usuarios, equipos y recursos.
- identity-access№ 1011
Cuenta de servicio
Identidad no humana utilizada por una aplicación, script o servicio para autenticarse ante otros sistemas, normalmente sin inicio de sesión interactivo.
- attacks№ 1045
Silver Ticket
Ticket de servicio Kerberos (TGS) falsificado con el hash de una cuenta de servicio concreta, que concede acceso silencioso solo a ese servicio.
- defense-ops№ 467
Hashcat
Herramienta de recuperacion de contrasenas, de codigo abierto y acelerada por GPU, que rompe cientos de algoritmos de hash y autenticacion mediante ataques de diccionario, reglas, mascara e hibridos.
- defense-ops№ 229
Acceso a Credenciales
Táctica MITRE ATT&CK (TA0006) que cubre las técnicas usadas para robar nombres de cuenta, contraseñas, tokens y otros secretos.
● Véase también
- № 107BloodHound
- № 682Mimikatz
- № 487Honeyuser