PDA

Ver la versión completa : Pass the Ticket: Kerberos authentication bypass POC



LUK
18-08-2010, 10:57
Las técnicas Man-In-The-Middle se están convirtiendo en las estrellas de este mundo hiper-mega-conectado. En este caso, la técnica Mitm se utiliza para realizar ataques a Kerberos en entornos de dominio Windows.

Kerberos es el mecanismo de autenticación y autorización utilizado en los dominios Micrososft Windows y se acaba de publicar un paper, con una prueba de concepto funcional, que demuestra como es posible realizar ataques MitM para acceder a recursos por parte de usuarios no autenticados.

En el 2008 Emmanuel Bouillón había alertado de la posibilidad de enlazar ataques de spoofing al KDC (Key Distribution Center (http://msdn.microsoft.com/en-us/library/aa378170(VS.85).aspx)), unidos a un ataque de Replay en un entorno de Man In The Middle para hacer esto.

La conferencia, bajo el título de "Gaining access through Kerberos (http://dragos.com/psj08/slides/psj08-en/PacSec08_Bouillon.ppt)" se presentó en la PacSec 2008. En BlackHat Europe de 2009 amplió el trabajo y presentó un paper en el que especificaba más todas las fases necesarias para implementar dicho ataque: "Taming the beast : Assess Kerberos-protected networks (http://www.blackhat.com/presentations/bh-europe-09/Bouillon/BlackHat-Europe-09-Bouillon-Taming-the-Beast-Kerberous-whitepaper.pdf)"

Ahora, desde Venezia, Italia, Tommaso Malgherini, como trabajo de su Thesis Doctoral "Pass The Ticket (http://secgroup.ext.dsi.unive.it/?getfile=214)", ha realizado una implementación completa del ataque y ha sacado unas herramientas que permiten realizar un bypass de la autenticación en una red con Kerberos en cualquiera de sus versiones. En sus pruebas, se ha puesto en contacto con Microsoft que ha confirmado que solucionará este problema en el próximo service pack de los productos.

Las herramientas pueden ser descargadas desde la página del proyecto en http://secgroup.ext.dsi.unive.it/kerberos/ (http://secgroup.ext.dsi.unive.it/kerberos/). Estas herramientas y este ataque ha demostrado funcionar en entornos de Kerberos sobre Windows y no sobre Linux.

¿Y cómo arreglas esto si tienes un dominio Windows?

Este no es el primer ataque al protocolo kerberos que sufren las plataformas Microsoft Windows. De hecho, la popular herramienta Cain (http://www.oxid.it/cain.html) lleva un módulo para hacer romper las claves de los usuarios cuando se autentican por Kerberos en un entorno de Man In The Middle.

La solución que propone Microsoft, desde hace años, es utilizar IPSec en las máquinas del dominio. Si tienes instalado un Dominio Microsoft puedes utilizar IPSec en varias formas.

La más sencilla es utilizar IPSec sólo para cifrar y autenticar el tráfico Kerberos. De esta forma todo el tráfico que implique autorización y/o autenticación kerberos ira protegido contra ataques Man In The Middle.

Si quieres evitar cualquier tipo de ataque Man In The Middle en tu red, puedes utilizar IPsec para todos los protocolos. Aquí tienes un webcasts para usar IPSec para autenticar Kerberos en Windows Server 2003 (http://download.microsoft.com/download/c/5/f/c5f00c94-a0f1-4c7a-96ec-fa2fb3d526a4/IPSec-Windows-Screencast.wmv). Aquí tienes una guía sobre como aislar los dominios Windows 2008 (http://technet.microsoft.com/en-us/library/cc770610(WS.10).aspx) y evitar ataques MitM con IPSec y en Windows Técnico tienes como implantar IPSec punto a punto a través del Firewall avanzado (http://www.windowstecnico.com/archive/2010/03/31/securizando-las-comunicaciones-con-ipsec.aspx).

Saludos Malignos!




Publicado por Maligno en http://elladodelmal.blogspot.com/2010/08/pass-ticket-kerberos-authentication.html (http://elladodelmal.blogspot.com/2010/08/pass-ticket-kerberos-authentication.html)