A Kerberos támadások új generációja
A Unit42 kutatói új észlelési módszereket ismertetnek, amelyek segítik a Kerberos támadás észlelését, amely lehetővé teszi a támadók számára, hogy módosítsák a Kerberos jegyeket a hozzáférés fenntartása érdekében. Ennek legismertebb példája a Golden Ticket támadás, amely lehetővé teszi a fenyegetés szereplői számára, hogy jegyet hamisítsanak, hogy magas jogosultságú felhasználónak álcázzák magukat. A Kerberos az Active Directoryban az egyes felhasználók jogosultságairól való tájékoztatásra szolgál, azonban nem hajt végre hitelesítést. Az egyes szolgáltatások felelőssége annak meghatározása, hogy a felhasználó hozzáfér-e az erőforrásaihoz, és a Kerberos nem ellenőrzi, hogy a felhasználó melyik erőforráshoz vagy szolgáltatáshoz férhet hozzá. A sérülékenység a Kerberos Privilege Attribute Certificate (PAC) tanúsítványt érinti, és végső soron szintén a tartományvezérlő meghamisításához vezethet. A sebezhetőség miatt a kulcselosztó központ, a Key Distribution Center (KDC) a tartományi fiók jogosultsági szintjénél magasabb szolgáltatási jegyeket hoz létre, és a támadó ezt kihasználhatja, hogy domain felhasználói hitelesítőhöz jusson. Ennek birtokában a két sebezhetőség kombinálásával domain szintű adminisztrátori jogosultságokat szerezhet.
A két újabb támadás kiterjeszti a Golden Ticket támadást, mivel a hamisított jegyek egy meglévő jegy módosításán alapulnak, hogy magas szintű hozzáférést biztosítsanak. A Unit42 kutatói ismertetik a három támadástípus közötti különbséget, hogy megmagyarázzák, miért nehezebb az újabbakat észlelni.