Într-o analiză aprofundată a Directorului Activ și a modului în care „Kerberoasting” îl vulnerabilizează, a ieșit la iveală săptămâna trecută un apel al unui senator proeminent din SUA către Comisia Federală pentru Comerț pentru a investiga Microsoft în legătură cu neglijența în securitatea cibernetică. Aceasta a avut un rol crucial anul trecut în incidentul de ransomware suferit de gigantul în domeniul sănătății, Ascension, incident care a perturbat grav funcționarea a 140 de spitale și a expus datele medicale ale 5,6 milioane de pacienți.
Scrisoarea trimisă săptămâna trecută de senatorul Ron Wyden (D-Ore.) președintelui FTC, Andrew Ferguson, dezvăluie că atacul a început în februarie 2024 cu infectarea laptopului unui contractor după ce acesta a descărcat malware de pe un link oferit de motorul de căutare Bing al Microsoft. Atacatorii au reușit apoi să acceseze cel mai valoros activ de rețea al Ascension: Windows Active Directory, un instrument folosit de administratori pentru a crea și șterge conturi de utilizator și pentru a gestiona privilegiile de sistem. Controlul asupra Directorului Activ este echivalent cu obținerea unei chei maestre care deschide orice ușă într-o clădire restricționată.
Wyden a criticat Microsoft pentru suportul continuu oferit implementării sale vechi de trei decenii a protocolului de autentificare Kerberos, care folosește un cifru nesigur și, după cum a menționat senatorul, expune clienții la tipul de breșă suferit de Ascension. Deși versiunile moderne ale Active Directory vor folosi în mod implicit un mecanism de autentificare mai sigur, acesta va reveni în mod implicit la cel mai slab în cazul în care un dispozitiv din rețea – inclusiv unul infectat cu malware – trimite o cerere de autentificare care îl utilizează. Acest lucru a permis atacatorilor să efectueze Kerberoasting, o formă de atac pe care Wyden a spus că atacatorii au folosit-o pentru a pivot direct la bijuteria coroanei securității rețelei Ascension.
Omiterea din scrisoarea lui Wyden – și în postările de pe rețelele sociale care au discutat-o – a fost orice examinare a rolului Ascension în breșă, care, bazându-ne pe relatarea lui Wyden, a fost considerabilă. Suspectată ca fiind printre principalele erori de securitate este o parolă slabă. Prin definiție, atacurile de tip Kerberoasting funcționează doar atunci când o parolă este suficient de slabă pentru a fi spartă, ridicând întrebări privind rezistența parolei compromise de atacatorii ransomware ai Ascension.
„În esență, problema care duce la Kerberoasting sunt parolele slabe,” a spus Tim Medin, cercetătorul care a inventat termenul de Kerberoasting, într-un interviu. „Chiar și o parolă aleatorie de 10 caractere ar fi imposibil de spart. Asta mă face să cred că parola nu a fost deloc aleatorie.”
Matematica lui Medin se bazează pe numărul de combinații de parole posibile cu o parolă de 10 caractere. Presupunând că se folosește un amestec generat aleatoriu de litere mari și mici, cifre și caractere speciale, numărul diferitelor combinații ar fi
Poll: Care poate fi soluția cea mai eficientă pentru a preveni atacurile de tip Kerberoasting în rețelele de companii?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply