Timeroasting: Attacco agli account fiduciari in Active Directory

La password del suo account informatico "forte e inattaccabile" potrebbe non essere così inattaccabile come potrebbe pensare...

Le password altamente protette tra i computer Windows all'interno delle reti aziendali sembrano avere una vulnerabilità inaspettata. Le password considerate "inattaccabili" si rivelano in alcuni casi facili da decifrare.

KERBEROASTING O SPRUZZATURA DI PASSWORD

Molte tecniche di attacco AD comuni, come il Kerberoasting o lo spraying di password, sfruttano la prevedibilità delle password scelte dagli esseri umani per se stessi o per un account di servizio che gestiscono. Finora questi tipi di attacchi sono stati considerati inutili contro le password degli account informatici, perché tendono ad avere password molto forti.

FALSO PRESUPPOSTO

Tuttavia, si scopre che questi tipi di password sono sempre inespugnabili e che, in pratica, si tratta di un falso presupposto: ci sono in realtà diverse situazioni in cui gli account informatici o fiduciari possono avere password altamente prevedibili, e lo abbiamo riscontrato in diversi domini organizzativi. Questo fatto ha tutta una serie di implicazioni interessanti e abbiamo ideato quattro nuove tecniche di AD pentesting per trarne vantaggio.

Nei domini in cui sono presenti account informatici o fiduciari deboli, queste tecniche possono fornire nuovi metodi (furtivi) di accesso iniziale e ulteriori vie per il movimento laterale e l'escalation dei privilegi all'interno degli ambienti AD.

LIBRO BIANCO TIMEROASTING e TOOLING PERSONALIZZATO

Per una spiegazione approfondita di questa debolezza nelle reti aziendali, legga il nostro libro bianco "Timeroasting, Trustroasting e Computer Spraying".

E se desidera esplorare ulteriormente questo aspetto nella sua rete, può trovare il tooling personalizzato qui nel repository GitHub.