miércoles, agosto 18, 2010

Pass the Ticket: Kerberos authentication bypass POC

Las técnicas Man-In-The-Middle se están convirtiendo en las estrellas de este mundo hiper-mega-conectado. En este caso, la técnica Mitm se utiliza para realizar ataques a Kerberos en entornos de dominio Windows.

Kerberos es el mecanismo de autenticación y autorización utilizado en los dominios Micrososft Windows y se acaba de publicar un paper, con una prueba de concepto funcional, que demuestra como es posible realizar ataques MitM para acceder a recursos por parte de usuarios no autenticados.

En el 2008 Emmanuel Bouillón había alertado de la posibilidad de enlazar ataques de spoofing al KDC (Key Distribution Center), unidos a un ataque de Replay en un entorno de Man In The Middle para hacer esto.

La conferencia, bajo el título de "Gaining access through Kerberos" se presentó en la PacSec 2008. En BlackHat Europe de 2009 amplió el trabajo y presentó un paper en el que especificaba más todas las fases necesarias para implementar dicho ataque: "Taming the beast : Assess Kerberos-protected networks"

Ahora, desde Venezia, Italia, Tommaso Malgherini, como trabajo de su Thesis Doctoral "Pass The Ticket", ha realizado una implementación completa del ataque y ha sacado unas herramientas que permiten realizar un bypass de la autenticación en una red con Kerberos en cualquiera de sus versiones. En sus pruebas, se ha puesto en contacto con Microsoft que ha confirmado que solucionará este problema en el próximo service pack de los productos.

Las herramientas pueden ser descargadas desde la página del proyecto en http://secgroup.ext.dsi.unive.it/kerberos/. Estas herramientas y este ataque ha demostrado funcionar en entornos de Kerberos sobre Windows y no sobre Linux.

¿Y cómo arreglas esto si tienes un dominio Windows?

Este no es el primer ataque al protocolo kerberos que sufren las plataformas Microsoft Windows. De hecho, la popular herramienta Cain lleva un módulo para hacer romper las claves de los usuarios cuando se autentican por Kerberos en un entorno de Man In The Middle.

La solución que propone Microsoft, desde hace años, es utilizar IPSec en las máquinas del dominio. Si tienes instalado un Dominio Microsoft puedes utilizar IPSec en varias formas.

La más sencilla es utilizar IPSec sólo para cifrar y autenticar el tráfico Kerberos. De esta forma todo el tráfico que implique autorización y/o autenticación kerberos ira protegido contra ataques Man In The Middle.

Si quieres evitar cualquier tipo de ataque Man In The Middle en tu red, puedes utilizar IPsec para todos los protocolos. Aquí tienes un webcasts para usar IPSec para autenticar Kerberos en Windows Server 2003. Aquí tienes una guía sobre como aislar los dominios Windows 2008 escrito por nuestro compañero "Silverhack" y coomo evitar ataques MitM con IPSec y en Windows Técnico tienes como implantar IPSec punto a punto a través del Firewall avanzado.

Saludos Malignos!

13 comentarios:

Anónimo dijo...

joer maligno, cuando escriber un post hablando de ataques contra plataformas microsoft nadie comenta nada.
La próxima vez habla de OSx o de Ubuntu, ya verás como esto se anima.

Anónimo dijo...

a ver si al final va a resultar que los que hacen FUD son los anónimos que critican, como ayer :)

tmeto dijo...

Pues es un post de lo mas interesante, de hecho llevo ya un rato frikeando con esto...pero se echa en falta un par de anonimos mas eh...esto no es lo que era....

pd: donde metemos a Ozil en el 11 inicial?

Alex Millà dijo...

Interesante entrada. A ver si encuentro tiempo para laboratorio y hacer unas pruebecillas. Lástima que este mes de agosto vaya de culo. :(

FilEMASTER dijo...

el anónimo al que llama está trolleando en otros blogs, o sus padres lo han castigado sin internet, si quiere puede dejarle un mensaje despues de la señal




piiiiiiiiiiiiiiiiiiiiii

Anónimo dijo...

Coño Maligno, por fin un artículo de verdad, y no esa chorrada FUD del troyano (con todo su premio). Mi más sincera enhorabuena.

Al resto, por alusiones, les diré que por mi parte (parece que no soy el único anónimo que se queja cuando el post es una hez) estaba leyendo los paper y probando cositas, por eso no comentaba. Ayer no había nada que probar porque el tema era absurdo por sí mismo. Al césar lo que es del césar, y este post es bastante más interesante. Vosotros seguid comentando sin leer, ni probar, ni tener un ápice de actitud crítica, que es lo vuestro (lol).

Por cierto, que ni de coña que esto afecta sólo a Windows. Confirma que no habéis leído los artículos. El hecho de que la prueba de concepto se haya hecho en Windows y que Windows sea más vulnerable por la extensión de MS no significa que otros sistemas no sean vulnerables.

Por ejemplo, yo he comprobado que mi sistema linux no usa la opción verify_ap_req_nofail, por lo que es susceptible a suplantación de KDC.

Sobre la solución de usar IPSec... uff, eso es inmanejable. Sobre todo si tienes entornos mixtos, impresoras, etc. Vamos, que aún tengo yo que ver un entorno de trabajo de verdad en que esté implantado IPSec para todo.

Pero vamos, si hay algún valiente, suerte para él.

Maligno dijo...

@Anónimo, coño, que crá eres. Hoy ya te metes con todo el mundo, eres único. Por cierto me encanta tu gusto por el (lol) que parece que necesitas reirte de tus propios chistes.

En el paper dejan claro como con Linux no han sido capaces de reproducir el ataque, pero no te preocupes, que nosotros tenemos ya un entorno montado.

En cuanto a entornos con IPSec, te puedo pasar unos cuantos ya probamos y funcionando. Nosotros tenemos bastantes empresas sólo con IPSec... No es tan difícil, y si tienes un AD con autoenrollment y la CA integrada te garantizo que es fácil de gestionar. Incluso con NAP.

Saludos!

Anónimo dijo...

Chemita, no te enfades, que te pones muy feo. Si en el post anterior hubieras tratado algún tema serio sobre seguridad en Android, no hubiera criticado nada.

Aquí el tema (para mí) no es qué fabricante falla, sino lo interesante que es el fallo. Parece que a ti cuando no es Spectra te importa más quién que qué. Te dejo este enlace para que veas lo dañinos que pueden ser las "media whores" que publican cualquier chorrada y lo llaman problema grave, para que me comprendas un poco si quieres.

Al personal como FilEMASTER hay que darle cañita: que comenten algo interesante técnicamente, con hechos, o que aguanten el chaparrón ;)

Y, ya más serio, no veo en los "paper" que diga en ningún sitio que bajo Linux no funciona el ataque (de hecho, el KDC spoofing funciona si no tienes una buena configuración*). La PoC la han hecho para Windows, pero eso no significa que bajo linux no chute. Si estoy equivocado, me encantará que me corrijan.

* Una buena configuración no es trivial en Linux, pues exige la opción verify_ap_req_nofail y tener un keytab en la máquina. El problema es que ese keytab debe ser legible sólo por procesos privilegiados (o si no es absurdo), y hay procesos como el protector de pantalla que requieren leer el keytab para funcionar. Así que las opciones son o ejecutar el protector de pantalla como root (miedo!) o permitir el spoofing, o no usar protector de pantalla (miedo!).

Maligno dijo...

@Anónimo, en la página 10 del paper de "Pass the ticket" dice que en Linux no ha funcionado. http://secgroup.ext.dsi.unive.it/kerberos/

Respecto al post de ayer, me hizo gracia la arquitectura, no que fuera con Android, que me la trae al pairo. En mi post no dice que sea ningún problema grave de nada.

En cuanto al blog... esto es "El lado del Mal" y su idiosincracia marca su manera de ser y yo seguiré siendo fiel a su estilo por respeto a él mismo. ;)

Saludos!

FilEMASTER dijo...

@anónimo tiolistoquehaconseguidoquesuspadreslelevantenelcastigo

O lo mismo ha robao una wifi por ahi o algo...

En este blog mi cometido siempre ha sido reirme de los paquetes que vienen aqui a quejarse o a maldecir al maligno (que manda webos) si quieres contenido técnico por mi parte se me da muy mal contarlo así en un blog...

FilEMASTER es un acólito del mal, un ser creado unicamente para dar por culo... que tenga yo que explicar estas cosas a estas alturas....

PD: de momento no me derrito con el agua, sólo me mojo, así que los chaparrones me pelan :D

PD2: (lol)

Anónimo dijo...

@Maligno

Gracias por la referencia. Dicen que el ataque no funciona para la versión del MIT. Yo tengo Heimdal, así que habrá que probar :)

@FilESLAVE

Ya sabía que eras una groupie, gracias por confirmalo y darme la razón.

Al menos, si vas a dedicarte a trollear, escúchate antes unas cintas de Arévalo y Paco Aguilar. A ver si te inspiran y escribes algo con gracia.

FilEMASTER dijo...

arévalo y paco aguilar....

Pero tu que tienes 50 o 60 tacos y el sentido del humor allí donde la espalda pierde su dulce nombre????

WTF!

Anónimo dijo...

@FAilMASTER

Te vendo un detector de sarcasmo. Baratito. EOT.

Entradas populares