Daniel Petri - Responsabile formazione senior

Tutte le organizzazioni che si affidano all'autenticazione Kerberos, il metodo di autenticazione principale negli ambienti Active Directory, sono potenzialmente vulnerabili a un attacco Pass the Ticket. Le organizzazioni che non applicano regolarmente patch ai loro sistemi, non monitorano e non proteggono Active Directory e non adottano misure di sicurezza solide per la protezione delle credenziali e dei ticket sono più a rischio. Vediamo come individuare e difendersi da un attacco Pass the Ticket.

Che cos'è un attacco Pass the Ticket?

L'attacco Pass the Ticket è una tattica sofisticata. Gli attori delle minacce utilizzano questo attacco per ottenere l'accesso non autorizzato alle risorse di rete in ambienti che utilizzano Kerberos, il protocollo di autenticazione predefinito di Active Directory.

A differenza degli attacchi basati su password, l'attacco Pass the Ticket sfrutta il ticket di assegnazione dei biglietti (TGT) e i ticket di servizio all'interno del processo di autenticazione Kerberos. Catturando e riutilizzando questi ticket, gli aggressori possono impersonare utenti legittimi, senza bisogno delle loro credenziali reali.

Gli aggressori spesso utilizzano l'attacco Pass the Ticket in tandem con altre tecniche come parte di attacchi a più fasi. Dopo aver utilizzato un attacco Pass the Ticket per ottenere l'accesso alla rete, gli attori delle minacce potrebbero distribuire ransomware, creare backdoor o stabilire server di comando e controllo per lo sfruttamento e la persistenza a lungo termine. La versatilità e la natura furtiva di questo attacco lo rendono una tecnica preferita dagli operatori di minacce persistenti avanzate (APT) e da altri aggressori sofisticati.

Lettura correlata: Proteggere Active Directory da Kerberoasting

Come funziona un attacco Pass the Ticket?

In un attacco Pass the Ticket, l'aggressore compromette inizialmente il sistema o il dispositivo di un utente. Utilizzando strumenti come Mimikatz, Kekeo, Rubeus o Creddump7, l'aggressore estrae quindi i TGT o i ticket di servizio Kerberos dalla memoria LSASS.

Con questi biglietti in mano, l'aggressore può quindi:

  • Presentare un biglietto rubato per accedere alle risorse per le quali il biglietto è valido.
  • Muoversi lateralmente all'interno della rete, accedendo a sistemi e servizi come utente compromesso.
  • Tentativo di escalation dei privilegi catturando il ticket di un utente con privilegi più elevati.

Il rilevamento di un attacco Pass the Ticket è impegnativo. Poiché l'aggressore utilizza biglietti legittimi, queste azioni appaiono spesso come attività autentiche dell'utente.

Si noti che un attacco Pass the Ticket prevede lo sfruttamento dei ticket Kerberos, in particolare il TGT, che hanno una durata di 10 ore (600 minuti) per impostazione predefinita e possono essere rinnovati per 7 giorni. Pertanto, l'attaccante deve utilizzare il ticket entro tale periodo.

Quali sono i rischi associati a un attacco Pass the Ticket?

Il rischio principale di un attacco Pass the Ticket è l'accesso non autorizzato. Utilizzando un ticket valido, gli aggressori possono aggirare i meccanismi di autenticazione tradizionali, ottenendo l'accesso a dati, applicazioni e servizi sensibili. La natura furtiva dell'attacco consente agli avversari di persistere all'interno di una rete per lunghi periodi senza essere rilevati. Si considerino i seguenti scenari esemplificativi.

Compromesso iniziale

Un utente malintenzionato effettua il phishing di un dipendente di basso livello e ottiene l'accesso alla sua workstation. Utilizzando uno strumento come Mimikatz o Rubeus, l'aggressore estrae i ticket Kerberos dalla memoria del sistema. L'aggressore utilizza questi ticket per accedere alle condivisioni di rete, ai database o ad altre risorse per le quali il dipendente ha i permessi.

Movimento laterale

Dopo aver compromesso un computer, un aggressore acquisisce il ticket Kerberos di un membro del personale IT che ha recentemente effettuato l'accesso a quel computer. Utilizzando questo ticket, l'aggressore si sposta su un altro computer o server a cui il membro del personale IT ha accesso, espandendo la propria impronta all'interno dell'organizzazione. L'aggressore può utilizzare il ticket per recuperare informazioni o sistemi riservati o per eseguire azioni dannose come la distribuzione di malware, la creazione di nuovi account utente o l'alterazione di configurazioni.

Escalation dei privilegi

Dalla stazione di lavoro di un utente compromesso, un utente malintenzionato acquisisce un ticket di servizio di un amministratore che ha eseguito un'attività sulla stazione di lavoro. Utilizzando questo ticket, l'aggressore aumenta i propri privilegi all'interno della rete, accedendo a server sensibili, tra cui un controller di dominio Active Directory.

Infiltrazione di dati

Dopo aver ottenuto un biglietto valido, un aggressore accede a un server di database. L'aggressore può quindi esfiltrare dati sensibili, tra cui informazioni sui clienti o proprietà intellettuale, senza dover decifrare una password o compromettere direttamente il server.

Persistenza furtiva

Invece di utilizzare malware o altri strumenti che potrebbero attivare il software antivirus, un aggressore mantiene l'accesso alla rete utilizzando ticket rubati, aggiornandoli quando necessario e accedendo alle risorse senza destare alcun allarme.

Compromissione delle risorse cloud

Un'organizzazione utilizza il single sign-on (SSO) e integra la propria Active Directory on-premises con i servizi cloud. Un utente malintenzionato ottiene un ticket ed è quindi in grado di accedere alle risorse del cloud, compresi storage e database, causando violazioni dei dati.

Come si può rilevare un attacco Pass the Ticket?

Il rilevamento di un attacco Pass the Ticket può essere difficile. L'aspetto legittimo delle attività basate sui biglietti complica il compito.

Le seguenti strategie di rilevamento possono aiutare a individuare questo tipo di attacco:

  • Rilevamento delle anomalie. Monitorare gli schemi di accesso insoliti o le attività durante le ore più strane. Tali schemi potrebbero indicare un intento malevolo.
  • Monitorare gli eventi di autenticazione. Controllate tutti gli eventi di autenticazione Kerberos e verificate se ci sono discrepanze. Eseguite questa verifica sia sugli endpoint che sui controller di dominio.
  • Durata dei biglietti. Tracciate l'età dei ticket e impostate avvisi per i ticket che vengono utilizzati oltre la durata di vita stabilita.
  • Strumenti di monitoraggio. Utilizzate soluzioni avanzate di rilevamento delle minacce in grado di riconoscere i modelli di attacco Pass the Ticket. Osservate anche l'uso di strumenti come Mimikatz, Kekeo, Rubeus e Creddump7.

Gli ambienti su larga scala utilizzano spesso un sistema di gestione degli eventi e delle informazioni di sicurezza (SIEM) o un altro meccanismo di filtraggio e avviso per analizzare i registri degli eventi e avvisare gli amministratori in base agli eventi di accesso. Tuttavia, alcuni attacchi sono abili nel coprire ogni traccia del loro comportamento in Active Directory. Tali attacchi possono eludere il rilevamento del SIEM.

Come ci si può difendere da un attacco Pass the Ticket?

La mitigazione si concentra sia sulla prevenzione che sulla limitazione:

  • Limitare la durata dei ticket. Riduce la durata dei TGT e dei ticket di servizio. La durata predefinita dei ticket è di 600 minuti (10 ore).
  • Applicare regolarmente le patch ai sistemi. Verificate che tutti i sistemi, in particolare i controller di dominio, siano patchati regolarmente.
  • Proteggere gli account privilegiati. Limitate il numero di account privilegiati e utilizzate l'autenticazione a più fattori (MFA).
  • Monitorare e verificare Active Directory. Esaminare e verificare regolarmente i registri di Active Directory. Configurate gli avvisi per le attività sospette. Meglio ancora, implementare una soluzione progettata per proteggere Active Directory e monitorare il flusso di repliche di Active Directory piuttosto che dipendere dai registri.

Per difendersi da un attacco Pass the Ticket e da altri attacchi legati a Kerberos, gli amministratori di Active Directory devono mantenere una solida postura di sicurezza:

  • Implementare la modalità Amministrazione limitata. Questo passaggio impedisce che le credenziali degli amministratori vengano memorizzate quando utilizzano RDP per connettersi a un sistema.
  • Applicare le baseline di sicurezza. Implementare le linee di base della sicurezza Microsoft per Active Directory e Group Policy.
  • Mantenere i sistemi aggiornati. Assicuratevi che le patch dei sistemi e del software siano tempestive.
  • Distribuire Credential Guard. Introdotta in Windows 10 e Windows Server 2016 e successivi, Credential Guard utilizza la virtualizzazione per proteggere l'archiviazione delle credenziali e fornire l'accesso solo ai processi affidabili. La funzione aiuta anche a isolare e proteggere LSASS dagli strumenti di attacco.
  • Istruire gli utenti. Istruire gli utenti con credenziali di dominio o elevate per evitare di accedere a host non attendibili.

Difendere le reti basate su Kerberos per ridurre i rischi

L'attacco Pass the Ticket esemplifica le tecniche avanzate che gli avversari moderni utilizzano per sfruttare sistemi di autenticazione apparentemente solidi. Comprendendo i meccanismi dell'attacco Pass the Ticket, potrete difendere meglio le vostre reti basate su Kerberos.

Il modo migliore per rafforzare le difese e ridurre significativamente il rischio di tali minacce avanzate è adottare misure proattive per proteggere Active Directory. Tali misure includono il monitoraggio continuo e l'uso di solide soluzioni di rilevamento e risposta alle minacce all'identità (ITDR). Un sistema di monitoraggio come Semperis Directory Services Protector, progettato per rilevare gli attacchi avanzati e automatizzare il rollback delle modifiche sospette in Active Directory, può garantire una maggiore tranquillità di fronte a un tentativo di attacco Pass the Ticket.