Microsoft, Kerberoasting AD saldırılarına karşı en iyi nasıl karşılık verileceğine ilişkin kılavuz yayınladı

Microsoft’un siber güvenlik araştırmacıları, Kerberoasting adı verilen bir siber saldırı yönteminin etkinliğinin arttığı konusunda uyarıda bulundu.

Şirket, işletmelerin bu saldırıya karşı savunmalarını güçlendirmelerine yardımcı olmak için, metodolojiyi, ilgili riskleri ve koruma kılavuzunu açıklayan yeni bir blog yayınladı.

Microsoft’a göre bu teknik son zamanlarda daha etkili hale geldi çünkü bilgisayar korsanları şifre kırmayı hızlandırmak için giderek daha fazla GPU kullanıyor.

GPU’lar saldırıları güçlü kılıyor

Microsoft’un Kurumsal ve İşletim Sistemi Güvenliği Başkan Yardımcısı David Weston tarafından yayınlanan blogda, Kerberoasting’in Kerberos kimlik doğrulama protokolünü hedef alan ve tehdit aktörlerinin Active Directory kimlik bilgilerini çalmasına olanak tanıyan bir siber saldırı olduğu belirtiliyor.

Kerberos, internet gibi güvenli olmayan ağlar üzerinden kullanıcıların ve hizmetlerin güvenli kimlik doğrulamasına izin vermek için gizli anahtar şifrelemesini kullanan bir ağ kimlik doğrulama protokolüdür. Active Directory ise Windows etki alanı ağları için geliştirilmiş, bir kuruluş içindeki kullanıcıları, cihazları ve hizmetleri yönetmek ve kimliklerini doğrulamak için kullanılan bir dizin hizmetidir.

Kerberoasting, bir saldırganın bir ağa erişim sağladıktan sonra Active Directory’deki hizmetlerle ilişkili hesaplar için hizmet biletleri talep ettiği bir istismar sonrası saldırı tekniğidir. Bu biletler hizmet hesabının NTLM karması ile şifrelenir. Saldırgan daha sonra bileti alır ve çevrimdışı olarak kırmaya çalışır ve böylece hizmet hesabının parolasını ortaya çıkarır.

Weston, “Kerberoasting düşük teknolojili, yüksek etkili bir saldırıdır,” dedi. “Potansiyel hedef hesapları sorgulamak, bu hesapların hizmet biletlerini almak ve ardından hesap parolasını çevrimdışı olarak elde etmek için kaba kuvvet kırma tekniklerini kullanmak için kullanılabilecek birçok açık kaynaklı araç vardır.”