Daniel Petri | Director de Formación

Cualquier organización que confíe en la autenticación Kerberos -el principal método de autenticación en entornos Active Directory- es potencialmente vulnerable a un ataque Pass the Ticket. Las organizaciones que no parchean regularmente sus sistemas, supervisan y protegen Active Directory, y siguen medidas de seguridad sólidas para la protección de credenciales y tickets corren un riesgo mayor. Vamos a discutir cómo detectar y defenderse contra un ataque Pass the Ticket.

¿Qué es un ataque Pass the Ticket?

El ataque Pass the Ticket es una táctica sofisticada. Los actores de amenazas utilizan este ataque para obtener acceso no autorizado a recursos de red en entornos que utilizan Kerberos, el protocolo de autenticación por defecto en Active Directory.

A diferencia de los ataques basados en contraseñas, un ataque Pass the Ticket explota el ticket de concesión de ticket (TGT) y los tickets de servicio dentro del proceso de autenticación Kerberos. Al capturar y reutilizar estos tickets, los atacantes pueden hacerse pasar por usuarios legítimos, sin necesidad de sus credenciales reales.

Los agresores suelen utilizar el ataque Pass the Ticket junto con otras técnicas como parte de ataques en varias fases. Después de utilizar un ataque Pass the Ticket para obtener acceso a su red, los actores de la amenaza pueden desplegar ransomware, crear puertas traseras o establecer servidores de comando y control para la explotación y persistencia a largo plazo. La versatilidad y la naturaleza sigilosa de este ataque lo convierten en una técnica favorita entre los operadores de amenazas persistentes avanzadas (APT) y otros atacantes sofisticados.

Lectura relacionada: Proteger Active Directory contra Kerberoasting

¿Cómo funciona un ataque Pass the Ticket?

En un ataque Pass the Ticket, el atacante compromete inicialmente el sistema o dispositivo de un usuario. Utilizando herramientas como Mimikatz, Kekeo, Rubeus o Creddump7, el atacante extrae tickets de servicio o TGT Kerberos de la memoria LSASS.

Con estos billetes en la mano, el atacante puede entonces:

  • Presentar un billete robado para acceder a los recursos para los que el billete es válido.
  • Moverse lateralmente dentro de la red, accediendo a sistemas y servicios como el usuario comprometido.
  • Intento de escalar privilegios capturando el ticket de un usuario con privilegios superiores.

La detección de un ataque Pass the Ticket es todo un reto. Dado que el atacante utiliza tickets legítimos, estas acciones suelen parecer actividades auténticas del usuario.

Tenga en cuenta que un ataque Pass the Ticket implica la explotación de tickets Kerberos -particularmente el TGT- que tienen una vida útil de 10 horas (600 minutos) por defecto y pueden ser renovados durante 7 días. Por lo tanto, el atacante debe utilizar el ticket dentro de ese periodo.

¿Qué riesgos conlleva un ataque de "Pass the Ticket"?

El principal riesgo de un ataque Pass the Ticket es el acceso no autorizado. Mediante el uso de un ticket válido, los atacantes pueden eludir los mecanismos de autenticación tradicionales, obteniendo acceso a datos, aplicaciones y servicios sensibles. La naturaleza sigilosa del ataque permite a los adversarios mantenerse dentro de una red durante largos periodos de tiempo sin ser detectados. Consideremos los siguientes ejemplos.

Compromiso inicial

Un atacante logra suplantar a un empleado de bajo nivel y obtiene acceso a su estación de trabajo. Utilizando una herramienta como Mimikatz o Rubeus, el atacante extrae tickets Kerberos de la memoria del sistema. El atacante utiliza estos tickets para acceder a recursos compartidos de red, bases de datos u otros recursos para los que el empleado tiene permisos.

Movimiento lateral

Después de comprometer una máquina, un atacante captura un ticket Kerberos de un miembro del personal de TI que había iniciado sesión recientemente en esa máquina. Utilizando este ticket, el atacante se desplaza a otra máquina o servidor al que tenga acceso ese miembro del personal de TI, ampliando su huella dentro de la organización. El atacante puede utilizar el ticket para recuperar información o sistemas confidenciales o para ejecutar acciones dañinas como desplegar malware, crear nuevas cuentas de usuario o alterar configuraciones.

Escalada de privilegios

Desde la estación de trabajo de un usuario comprometido, un atacante captura un ticket de servicio de un administrador que realizó una tarea en la estación de trabajo. Usando este ticket, el atacante escala sus privilegios dentro de la red, accediendo a servidores sensibles, incluyendo un controlador de dominio Active Directory.

Exfiltración de datos

Tras obtener un ticket válido, un atacante accede a un servidor de base de datos. A continuación, el atacante extrae datos confidenciales, incluida información de clientes o propiedad intelectual, sin necesidad de descifrar una contraseña ni de comprometer directamente el servidor.

Persistencia sigilosa

En lugar de utilizar malware u otras herramientas que podrían activar el software antivirus, un atacante mantiene el acceso a la red utilizando tickets robados, actualizándolos según sea necesario y accediendo a los recursos sin hacer saltar ninguna alarma.

Comprometer los recursos de la nube

Una organización utiliza el inicio de sesión único (SSO) e integra su Active Directory local con servicios en la nube. Un atacante obtiene un ticket y puede acceder a los recursos de la nube, incluidos el almacenamiento y las bases de datos, lo que provoca filtraciones de datos.

¿Cómo se puede detectar un ataque Pass the Ticket?

La detección de un ataque Pass the Ticket puede resultar difícil. La apariencia legítima de las actividades basadas en el ticket complica la tarea.

Las siguientes estrategias de detección pueden ayudarle a detectar este tipo de ataque:

  • Detección de anomalías. Supervise patrones de acceso inusuales o actividades durante horas extrañas. Estos patrones podrían indicar intenciones maliciosas.
  • Supervise los eventos de autenticación. Audite todos los eventos de autenticación Kerberos y revíselos en busca de discrepancias. Realice esta auditoría tanto en los puntos finales como en los controladores de dominio.
  • Vida útil de los tickets. Realice un seguimiento de la antigüedad de los tickets y establezca alertas para los tickets que se utilizan más allá de su vida útil establecida.
  • Herramientas de supervisión. Utilice soluciones avanzadas de detección de amenazas que puedan reconocer los patrones de ataque de Pass the Ticket. Vigile también el uso de herramientas como Mimikatz, Kekeo, Rubeus y Creddump7.

Los entornos a gran escala suelen utilizar un sistema de gestión de eventos e información de seguridad (SIEM ) u otro mecanismo de filtrado y alerta para analizar los registros de eventos y alertar a los administradores en función de los eventos de inicio de sesión. Sin embargo, ciertos ataques son expertos en cubrir todo rastro de su comportamiento en Active Directory. Estos ataques pueden eludir la detección del SIEM.

¿Cómo puede defenderse de un ataque de "Pase el billete"?

La mitigación se centra tanto en la prevención como en la limitación:

  • Limitar la vida útil de los tickets. Reduzca la duración de los TGT y los tickets de servicio. La duración predeterminada de los tickets es de 600 minutos (10 horas).
  • Parchee regularmente los sistemas. Compruebe que todos los sistemas, especialmente los controladores de dominio, se parchean con regularidad.
  • Proteja las cuentas privilegiadas. Limite el número de cuentas privilegiadas y emplee la autenticación multifactor (MFA).
  • Supervisar y auditar Active Directory. Revise y audite regularmente los registros de Active Directory. Configure alertas para actividades sospechosas. Mejor aún, implemente una solución que esté diseñada para proteger Active Directory y supervise el flujo de replicación de Active Directory en lugar de depender de los registros.

Para defenderse de un ataque Pass the Ticket y otros ataques relacionados con Kerberos, los administradores de Active Directory deben mantener una postura de seguridad sólida:

  • Implemente el modo de administración restringida. Este paso evita que las credenciales de los administradores se almacenen en la memoria cuando utilizan RDP para conectarse a un sistema.
  • Aplicar líneas de base de seguridad. Aplicar líneas de base de seguridad de Microsoft para Active Directory y directivas de grupo.
  • Mantenga sus sistemas actualizados. Asegúrese de que los sistemas y el software se parchean a tiempo.
  • Despliegue Credential Guard. Introducido en Windows 10 y Windows Server 2016 y posteriores, Credential Guard utiliza la virtualización para proteger el almacenamiento de credenciales y proporcionar acceso solo a procesos de confianza. La función también ayuda a aislar y proteger LSASS de las herramientas de ataque.
  • Educar a los usuarios. Forme a los usuarios con credenciales de dominio o elevadas para que eviten iniciar sesión en hosts no fiables.

Defienda las redes dependientes de Kerberos para reducir riesgos

El ataque Pass the Ticket ejemplifica las técnicas avanzadas que utilizan los adversarios modernos para explotar sistemas de autenticación aparentemente robustos. Si comprende la mecánica del ataque Pass the Ticket, podrá defender mejor sus redes dependientes de Kerberos.

La mejor manera de reforzar sus defensas y reducir significativamente el riesgo de tales amenazas avanzadas es tomar medidas proactivas para asegurar Active Directory. Dichas medidas incluyen la supervisión continua y el uso de soluciones sólidas de detección y respuesta ante amenazas de identidad (ITDR). Un sistema de monitorización como Semperis Directory Services Protector, diseñado para detectar ataques avanzados y automatizar la reversión de cambios sospechosos en Active Directory, puede proporcionar una mayor tranquilidad ante un intento de ataque Pass the Ticket.