Kerberoasting
Qu'est-ce que Kerberoasting ?
KerberoastingAttaque de mot de passe hors ligne qui demande des tickets de service Kerberos pour des comptes de service et casse la portion chiffree afin de retrouver le mot de passe en clair.
Le Kerberoasting exploite le fait que tout utilisateur authentifie du domaine peut demander un TGS pour n'importe quel SPN, et que ce ticket est chiffre avec le hash du mot de passe du compte de service. L'attaquant enumere les SPN, demande les TGS (souvent avec Rubeus ou Impacket GetUserSPNs), les exporte puis les casse hors ligne avec Hashcat ou John the Ripper. Les comptes de service aux mots de passe faibles ou jamais tournes tombent souvent en quelques heures. MITRE ATT&CK suit la technique sous T1558.003 (Steal or Forge Kerberos Tickets: Kerberoasting). Les defenses incluent des mots de passe longs et aleatoires ou gMSA pour les comptes de service, Kerberos AES uniquement, l'absence de SPN sur les comptes privilegies et la detection des demandes massives de TGS en RC4.
● Exemples
- 01
Executer Rubeus kerberoast depuis un compte non privilegie pour collecter des TGS, puis les casser avec Hashcat.
- 02
Decouvrir qu'un Domain Admin possede un SPN avec un mot de passe faible et escalader jusqu'a la compromission du domaine.
● Questions fréquentes
Qu'est-ce que Kerberoasting ?
Attaque de mot de passe hors ligne qui demande des tickets de service Kerberos pour des comptes de service et casse la portion chiffree afin de retrouver le mot de passe en clair. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Kerberoasting ?
Attaque de mot de passe hors ligne qui demande des tickets de service Kerberos pour des comptes de service et casse la portion chiffree afin de retrouver le mot de passe en clair.
Comment fonctionne Kerberoasting ?
Le Kerberoasting exploite le fait que tout utilisateur authentifie du domaine peut demander un TGS pour n'importe quel SPN, et que ce ticket est chiffre avec le hash du mot de passe du compte de service. L'attaquant enumere les SPN, demande les TGS (souvent avec Rubeus ou Impacket GetUserSPNs), les exporte puis les casse hors ligne avec Hashcat ou John the Ripper. Les comptes de service aux mots de passe faibles ou jamais tournes tombent souvent en quelques heures. MITRE ATT&CK suit la technique sous T1558.003 (Steal or Forge Kerberos Tickets: Kerberoasting). Les defenses incluent des mots de passe longs et aleatoires ou gMSA pour les comptes de service, Kerberos AES uniquement, l'absence de SPN sur les comptes privilegies et la detection des demandes massives de TGS en RC4.
Comment se défendre contre Kerberoasting ?
Les défenses contre Kerberoasting combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
● Termes liés
- identity-access№ 584
Kerberos
Protocole d'authentification réseau à base de tickets utilisant la cryptographie symétrique et un Centre de Distribution de Clés de confiance pour offrir une authentification unique sécurisée.
- identity-access№ 013
Active Directory
Service d'annuaire d'entreprise de Microsoft pour les réseaux Windows, qui assure l'authentification, l'autorisation et la gestion centralisée des stratégies pour utilisateurs, machines et ressources.
- identity-access№ 1011
Compte de service
Identité non humaine utilisée par une application, un script ou un service pour s'authentifier auprès d'autres systèmes, généralement sans connexion interactive.
- attacks№ 1045
Silver Ticket
Ticket de service Kerberos (TGS) forge a partir du hash d'un compte de service cible, donnant un acces silencieux a ce seul service.
- defense-ops№ 467
Hashcat
Outil open source de recuperation de mots de passe accelere par GPU, qui casse des centaines d'algorithmes de hachage et d'authentification via dictionnaire, regles, masques et attaques hybrides.
- defense-ops№ 229
Accès aux identifiants
Tactique MITRE ATT&CK (TA0006) couvrant les techniques utilisées pour voler des noms de compte, mots de passe, jetons et autres secrets.
● Voir aussi
- № 107BloodHound
- № 682Mimikatz
- № 487Honeyuser