Sean Deuby

Nel romanzo di Roald Dahl del 1964, Charlie e la fabbrica di cioccolato, l'enigmatico Willy Wonka nasconde cinque biglietti d'oro tra le barrette di cioccolato della sua fabbrica. Chi trova i biglietti vince l'onore di accedere al dietro le quinte della sua azienda. Anche nel mondo digitale i Golden Ticket consentono l'accesso, ma a qualcosa di molto più prezioso di una fabbrica misteriosa: l'ambiente IT della vostra organizzazione.

Lettura correlata

Il suo biglietto, per favore

Una breve premessa: quando un client PC si autentica a un dominio, il Kerberos Key Distribution Center (KDC) sul controller di dominio (DC) che si autentica fornisce al client un Ticket Granting Ticket (TGT). Questo TGT consente al client di richiedere al KDC un ticket di servizio per accedere a un servizio (ad esempio, un file server). Il KDC invia il ticket di servizio al client, crittografato con il valore hash della password dell'account di servizio. Il client passa il ticket al servizio, che lo decifra e gli concede l'accesso al servizio.

L'account krbtgt funziona come account di servizio per il servizio KDC. Con il controllo dell'account krbtgt, gli aggressori possono creare TGT fraudolenti per accedere a qualsiasi risorsa. Questo scenario è l'essenza di un attacco Golden Ticket. Se eseguiti con successo, gli attacchi Golden Ticket consentono agli attori delle minacce di impersonare qualsiasi utente. L'attacco è difficile da rilevare e può essere utilizzato dagli attori delle minacce per rimanere nascosti per lunghi periodi di tempo.

Per sferrare l'attacco è necessario che l'aggressore abbia già compromesso un account con privilegi elevati in grado di accedere al controller di dominio. Ogni controller di dominio nell'ambiente AD gestisce un KDC. Una volta ottenuto l'accesso al controller di dominio, l'attaccante può utilizzare uno strumento come Mimikatz per rubare l'hash NTLM dell'account krbtgt.

Con l'hash della password krbtgt in mano, l'attore delle minacce ha bisogno solo di quanto segue per creare un TGT:

  • Nome di dominio completamente qualificato (FQDN) del dominio
  • Identificatore di sicurezza (SID) del dominio
  • Il nome utente dell'account a cui ci si rivolge.

Sebbene i TGT siano solitamente validi per 10 ore per impostazione predefinita, un utente malintenzionato può rendere il TGT valido per qualsiasi periodo di tempo, fino a 10 anni. Per questo motivo, è fondamentale disporre di una strategia per rilevare, mitigare e rimediare a questi attacchi.

Utilizzare l'igiene di base della sicurezza per proteggersi dagli attacchi Golden Ticket

La prevenzione degli attacchi Golden Ticket inizia con l'igiene della sicurezza di base. Gli avversari non possono sferrare l'attacco senza prima compromettere l'ambiente, quindi le organizzazioni possono iniziare a implementare una difesa a più livelli per ridurre la superficie di attacco e aumentare la barriera all'ingresso.

  1. Prevenzione del furto di credenziali: Il primo livello riguarda la prevenzione del furto di credenziali. Bloccare il malware e gli attacchi di phishing che rubano le credenziali è fondamentale e dovrebbe comportare un mix di formazione alla sicurezza dei dipendenti e di sicurezza della rete e degli endpoint. Eliminare le password più comuni dalla directory utilizzando un filtro password personalizzato come Azure AD Password Protection ridurrà le possibilità di successo di un attacco password spray. Qualsiasi attività Mimikatz che non sia condotta dal Red team dell'organizzazione o da un pen tester autorizzato è un chiaro segnale dell'arrivo degli aggressori.
  2. Mantenere la sicurezza di AD: Il livello successivo consiste nell'innalzare le mura del castello attorno ad AD stesso. Poiché un attacco Golden Ticket richiede un accesso privilegiato a un controller di dominio, l'implementazione del principio del minimo privilegio è fondamentale per mantenere AD sicuro. I team AD devono ridurre al minimo il numero di account utente e di servizio con accesso ai DC. Gli account con autorizzazioni di amministratore di dominio o di "replica delle modifiche alla directory" possono essere utilizzati per lanciare attacchi DCSync, che consentono di rubare l'hash krbtgt.
  3. Cercare i biglietti falsi: Proprio come le banconote false, i ticket contraffatti possono essere scoperti osservando il comportamento insolito degli utenti ed esaminando il ticket alla ricerca di segni rivelatori. Ad esempio, errori come la mancata corrispondenza tra nome utente e ID relativo (RID) o alterazioni della durata del ticket possono essere indicatori di attività dannose. Inoltre, è importante monitorare AD per rilevare attività insolite, come le modifiche all'appartenenza a un gruppo.
  4. Usare cautela nel cambiare la password krbtgt: Uno dei consigli più comuni per affrontare gli attacchi Golden Ticket è quello di cambiare la password krbtgt ogni 180 giorni. Non si tratta di un'operazione casuale, in quanto può causare temporaneamente errori di convalida del Privileged Attribute Certificate (PAC). Il metodo migliore per aggiornare la password è studiare ed eseguire lo script di reimpostazione della password dell'account krbtgt (fornito dall'MVP Microsoft Jorge de Almeida Pinto, si tratta di uno script di reimpostazione continuamente aggiornato), che consente anche alle organizzazioni di convalidare che tutti i DC scrivibili nel dominio abbiano replicato le chiavi derivate dall'hash della nuova password. La modifica della password krbtgt ogni 180 giorni è una best practice. Tuttavia, i team AD dovrebbero considerare di cambiarla anche ogni volta che un dipendente che potrebbe creare un Golden Ticket lascia l'organizzazione. In questo modo si riduce il rischio che un ex dipendente scontento possa utilizzare un biglietto contraffatto per scopi dannosi. È importante ricordare che, se viene rilevato un attacco di Golden Ticket, la password dovrà essere reimpostata due volte per mitigare l'attacco. Perché? Perché l'account krbtgt ricorda le due password precedenti, quindi è necessario reimpostare la password due volte per evitare che un altro CC usi una vecchia password per replicare con il CC colpito. Come avvertimento, la modifica della password due volte prima che la password possa replicarsi in tutto l'ambiente può interrompere l'accesso alla rete, quindi prendete tempo e assicuratevi che il primo aggiornamento si sia propagato a tutti i DC.

Costruire una solida difesa contro gli attacchi del Golden Ticket

Mitigare e rispondere a un attacco Golden Ticket è difficile. Tuttavia, poiché questi attacchi possono aprire la strada al furto di dati su larga scala e al ransomware, è fondamentale tenere conto degli attacchi Golden Ticket nei vostri scenari di recupero AD e di risposta agli incidenti.

Assicuratevi che l'entità dell'attività degli aggressori sia stata determinata prima di ricostruire i sistemi interessati e ripristinare gli account, facendo così capire all'attore che avete rilevato la sua attività. Assicurarsi di disporre di un backup offline e, idealmente, di una foresta isolata e recuperata, in modo che se l'attore fa esplodere il payload del ransomware, si disponga ancora di una foresta AD funzionante. Solo comprendendo appieno i danni subiti, le organizzazioni possono essere sicure di aver chiuso completamente la porta agli aggressori e di aver impedito loro di mantenere un punto d'appoggio.