Timeroasting: het aanvallen van Trust Accounts in Active Directory

De sterk beveiligde wachtwoorden tussen windows-computers binnen bedrijfsnetwerken blijken een onverwachte kwetsbaarheid te hebben. Wachtwoorden die als "Onhackbaar" worden beschouwd, blijken in sommige gevallen makkelijk te kraken.

KERBEROASTING OF WACHTWOORD-SPRAYING

Veel voorkomende AD-aanvalstechnieken, zoals Kerberoasting of wachtwoord-spraying, maken gebruik van de voorspelbaarheid van wachtwoorden die door mensen zijn gekozen voor zichzelf of voor een serviceaccount die ze beheren.

Tot nu toe werden dit soort aanvallen als nutteloos beschouwd tegen de wachtwoorden van trusted computers, omdat ze meestal zeer sterke wachtwoorden hebben.

VERKEERDE VERONDERSTELLING

Het blijkt een verkeerde veronderstelling te zijn. In verschillende situaties kunnen computer- of trustaccounts zeer voorspelbare wachtwoorden hebben. We zijn dit tegengekomen in een aantal organisatorische domeinen.

Dit feit heeft allerlei interessante implicaties en we hebben vier nieuwe AD-pentesttechnieken om deze kwetsbaarheid te vinden.

In domeinen waar zwakke computer- of vertrouwensaccounts aanwezig zijn, kunnen deze technieken nieuwe (onopvallende) methoden voor initiële toegang bieden en extra wegen voor laterale verplaatsing en escalatie van bevoegdheden binnen AD-omgevingen.

TIMEROASTING WHITEPAPER and CUSTOM TOOLING RELEASE

Lees het whitepaper "Timeroasting, Trustroasting and Computer Spraying" voor een uitgebreide uitleg van deze kwetsbaarheid in bedrijfsnetwerken.

Als je dit in je eigen netwerk verder wilt verkennen, hebben we vier nieuwe AD-pentesttechnieken ontwikkeld. Deze tooling vind je hier in de GitHub-repository.