Attaque Kerberos : édition Silver Ticket

Silver ticket

Si vous pensez que, de par son nom, l’attaque Silver Ticket est moins dangereuse que sa cousine Golden Ticket, vous faites gravement erreur. Une attaque Silver Ticket est tout aussi vicieuse et invasive, et encore plus furtive.

Remarque technique importante : Kerberos utilise des jetons d’authentification, ou tickets, pour vérifier les identités des entités Active Directory. Ceci inclut les utilisateurs, les comptes de service, les admins de domaines et les ordinateurs. Toutes ces entités ont un mot de passe dans Active Directory (AD), même si en réalité vous ne l’avez pas créé ou modifié manuellement.

Qu’est-ce qu’un Silver Ticket ?

Un Silver Ticket est un ticket d’authentification de service falsifié.

Un hacker peut créer un Silver Ticket en craquant le mot de passe d’un compte d’ordinateur et l’utiliser pour créer un faux ticket d’authentification. Kerberos permet aux services (programmes de système d’exploitation de bas niveau) de se connecter sans que la validité de leur jeton ne soit vérifiée, une caractéristique exploitée par les hackers pour créer des Silver Tickets.

Si vous voulez des informations détaillées sur le piratage de l’authentification Kerberos, Sean Metcalf a donné une excellente conférence sur le sujet chez BlackHat il y a quelques années. Pour simplifier, un Silver Ticket est un ticket d’authentification falsifié que vous pouvez utiliser pour vous connecter à certains comptes.

Les Silver Tickets sont plus difficiles à détecter que les Golden Tickets en raison de l’absence de communication entre le service et le contrôleur de domaine et du fait que la journalisation a lieu en local sur l’ordinateur visé.

Généralement, les tickets Kerberos sont vérifiés par le Certificat de compte habilité (PAC) tierce partie. Curieusement, les comptes de service ne sont pas toujours vérifiés, un aspect qui est exploité par cette attaque. Les services sont des applications de bas niveau telles que CIFS, le pare-feu Windows et ou le spouleur d’impression.

Armés d’un Silver Ticket, les hackers peuvent utiliser une technique pass-the-ticket pour augmenter leurs droits d’accès ou leur utilisation des droits du service de manière à étendre leur accès. Même s’ils restent plus limités que les Golden Tickets, les Silver Tickets permettent aux hackers un tant soit peu imaginatifs de s’infiltrer en profondeur.

How a SIlver Ticket Attack works

Les Silver Tickets contournent l’authentification Kerberos auprès du contrôleur de domaine.

Que peut faire un hacker avec un Silver Ticket ?

Imaginons qu’un hacker ait piraté votre domaine au moyen d’un Golden Ticket. Malgré tous les efforts déployés pour réparer les dégâts, il a toujours accès à un ordinateur, et il a PowerShell.

Voici ce qui peut se passer ensuite :

  1. Le hacker utilise plusieurs outils de piratage pour exporter le hachage du mot de passe d’un compte de l’ordinateur
  2. Il craque le mot de passe du compte de service CIFS pour se connecter au compte de service CIFS
  3. Avec le compte de service CIFS, il subtilise le répertoire SYSVOL de C$
  4. Il utilise les fichiers de SYSVOL pour accéder au hachage du mot de masse du compte de service de l’HÔTE
  5. Il craque le mot de passe du compte de service de l’HÔTE
  6. Ensuite, il utilise le compte de service craqué pour créer une nouvelle tâche planifiée sur l’ordinateur
  7. Il peut alors récupérer le hachage du compte KRBTGT
  8. De là, il peut créer… un autre Golden Ticket !

Si vous pensiez qu’il suffisait de changer deux fois tous les mots de passe utilisateur, tous les mots de passe de compte de service et le mot de passe KRBTGT pour vous remettre de la première attaque Golden Ticket… vous n’avez plus qu’à recommencer depuis le début.

Autre remarque technique importante : ceci est simplifié à l’extrême. Si vous voulez vous amuser avec cette technique, libre à vous.

Comment vous défendre contre une attaque par Silver Ticket

How to defend your network from a Silver Ticket attack.

  • Installez les correctifs de CVE-2014-6324 sur tous les serveurs et images.
    • Cette vulnérabilité permet à un Silver Ticket de devenir un compte Admin de domaine
  • Définissez tous les comptes d’admin et de service sur « Le compte est sensible et ne peut pas être délégué »
  • Vérifiez que des comptes d’ordinateur ne sont pas membres des groupes d’administrateurs
  • Changez les mots de passe des comptes d’ordinateur tous les 30 jours

Comment Varonis peut stopper les attaques Silver Ticket

Varonis rassemble les données d’activité fournies par Active Directory, les systèmes de stockage des données et les défenses du périmètre et les analyse pour détecter les comportements anormaux et procéder au suivi des schémas comportementaux qui pourraient correspondre à des cyberattaques.

La capacité d’analyse de la sécurité de Varonis permet de mettre en évidence de nombreux types d’attaque et signale les activités anormales tout au long de la chaîne du cybercrime – y compris les déplacements latéraux et l’augmentation des droits, qui sont des activités clés d’une attaque Silver Ticket.

Les hackers utiliseront des comptes pour accéder à des services ou ordinateurs afin de réunir des fichiers de données ou de s’infiltrer encore plus profondément dans le système.

Modèle de menace Varonis : comportement anormal de l’ordinateur. Le compte d’ordinateur a tenté d’accéder à un appareil personnel pour la première fois

Comment ça marche : un compte d’ordinateur tente d’accéder à un appareil personnel, ce qui n’est pas le comportement attendu d’un compte d’ordinateur
Ce que cela signifie : cela signifie qu’un hacker utilise un compte d’ordinateur pour explorer le réseau, probablement pour acquérir des droits supérieurs qui lui permettront de subtiliser des fichiers
Systèmes visés : services d’annuaire

Pour créer le Silver Ticket, le hacker devra utiliser un des outils de piratage précédemment mentionnés. Varonis gère une base de données des outils de piratage connus – et peut vous avertir lorsqu’un hacker accède à l’un d’eux.

Modèle de menace Varonis : accès à des outils de test de pénétration et de piratage

Comment ça marche : quelqu’un a accédé à un outil utilisé par les hackers ou les testeurs d’intrusion sur un système de stockage de données surveillé. Le hacker peut utiliser des serveurs de fichiers pour créer des Silver Tickets, et s’il utilise un fichier figurant dans notre base de données, Varonis émet une alerte.
Ce que cela signifie : 99,9 % des utilisateurs n’ont aucune raison d’exécuter mimikatz ou kerberoast. Si une personne utilise des outils de ce type sur votre système de stockage de données, c’est le signe qu’une attaque est probablement en cours.
Systèmes visés : Windows, Unix, Unix SMB, SharePoint, NetApp, EMC, Hitachi NAS, HP NAS

Puisque les hackers utilisent des Silver Tickets, ils passeront par des comptes de service pour rassembler des données. Varonis est capable de découvrir automatiquement les comptes et de tous les classer en tant qu’utilisateur, service, habilité ou cadre. Varonis analyse différemment l’activité de chacune de ces catégories et compare l’activité en cours aux comportements passés.

Modèle de menace Varonis : comportement anormal d’un service : accès à des fichiers anormaux

Comment ça marche : en principe, les comptes de service répètent inlassablement les mêmes opérations. Par conséquent, lorsque des comptes de service accèdent à des données différentes, cette alerte est déclenchée.
Ce que cela signifie : quelqu’un utilise ce compte de service de manière incorrecte et il pourrait s’agir d’un hacker.
Systèmes visés : Windows, Unix, Unix SMB, SharePoint, NetApp, EMC, Hitachi NAS, HP NAS, SharePoint Online, One Drive, Dell FluidFS

Être averti de la présence potentielle d’un hacker dans votre réseau est essentiel pour lutter contre les fuites de données et bloquer les cyberattaques avant qu’elles ne parviennent à subtiliser des données. Varonis peut aider à enquêter sur les anomalies, réduire les vulnérabilités de sécurité et prévenir les attaques futures.

Demandez une évaluation gratuite des risques pour identifier vos vulnérabilités potentielles, notamment votre exposition aux attaques Silver Ticket ou pass-the-hash – et inscrivez-vous à une démonstration individuelle afin d’apprendre comment détecter un comportement anormal révélateur d’une attaque en cours, et comment vous défendre contre les cyber menaces.