„Kerberoasting i Active Directory – kiedy domyślne ustawienia Microsoftu stają się zaproszeniem dla ransomware”, czyli senator oskarża Microsoft

W świecie bezpieczeństwa IT często mówimy o tym, iż najgroźniejsze błędy nie wynikają z nowatorskich ataków, ale z zaniedbań – ignorowania domyślnych ustawień, przestarzałych technologii i niedostatecznej edukacji administratorów (polecamy naszą usługę audytu). List senatora Rona Wydena skierowany do Federalnej Komisji Handlu (FTC) idealnie opisuje to zjawisko – dotyczy on sposobu, w jaki Microsoft przez domyślną konfigurację Windows i Active Directory umożliwia przestępcom ataki typu Kerberoasting, co w rezultacie ułatwia przeprowadzanie ataków ransomware (w tym przypadku w sektorze infrastruktury krytycznej – opieki zdrowotnej).

O czym mówi list Wydena – najważniejsze punkty

1. Zaniedbanie domyślnych ustawień bezpieczeństwa
   Microsoft, według Wydena, wspiera ustawienia systemu podatne na Kerberoasting – m.in. wsparcie dla szyfrowania RC4, które eksperci bezpieczeństwa uważają za przestarzałe i niebezpieczne.
2. Świadomość ryzyka a reakcja Microsoftu
   Według senatora Microsoft został poinformowany, iż wielu klientów nie zdaje sobie sprawy z narażenia. Reakcja firmy była – zdaniem autora listu – niewystarczająca – publikacja technicznego wpisu na blogu, brak egzekwowania silniejszych ustawień domyślnych, obietnica poprawki, która jednak nie została zrealizowana w obiecanym czasie (co najmniej 11 miesięcy po zapowiedzi).
3. Realne skutki
   List wskazuje przypadek ataku ransomware na system opieki zdrowotnej (Ascension), kiedy przestępcy uzyskali uprzywilejowane konto w AD, wykorzystali Kerberoasting, zaszyfrowali wiele urządzeń, a także wykradli dane milionów pacjentów.
4. Apel o działania regulacyjne
   Wyden domaga się, by FTC zbadała Microsoft pod kątem „rażącego zaniedbania” i wykorzystała swoje uprawnienia, by wymusić zmiany, które zabezpieczą użytkowników (szczególnie organizacje zaliczane do infrastruktury krytycznej).

Czym jest Kerberoasting i dlaczego jest groźny

Kerberoasting to technika ataku przeciw Active Directory, opisana szeroko na Kapitanie Hacku – m.in. w artykule „Crakowanie biletów Kerberos kont serwisowych„.

W skrócie:

• W AD istnieją konta serwisowe, które mają przypisane SPN (Service Principal Name).
• Atakujący mogą (z uprawnieniami zwykłego użytkownika) żądać biletu TGS dla konta serwisowego z przypisanym SPN.
• TGS jest zaszyfrowany przy użyciu klucza z hasła NTLM konta serwisowego (lub RC4 / innych słabych algorytmów).
• Po odebraniu biletu atakujący może spróbować złamać ten bilet offline, odszyfrować i uzyskać hasło konta serwisowego.
• Pozwala to na eskalację uprawnień, ruchy boczne w sieci, a w skrajnych przypadkach – pełne przejęcie domeny, wdrożenie ransomware itp.

W naszych publikacjach na Kapitanie podkreślamy, iż Kerberoasting jest nie tylko stosunkowo łatwy do przeprowadzenia (nie wymaga specjalnych uprawnień poza zwykłym użytkownikiem), ale też często praktycznie niewykrywalny, jeżeli nie monitoruje się odpowiednich logów i nie ma wymuszonych silnych ustawień.

Szyfrowanie RC4 – skąd się bierze i dlaczego to problem

List Wydena wskazuje, iż Microsoft przez cały czas domyślnie wspiera RC4-HMAC jako opcję szyfrowania w Kerberos, co umożliwia ataki Kerberoasting, jeżeli organizacje nie wymuszają silniejszych algorytmów (np. AES). RC4 to szyfrowanie, które było krytykowane przez ekspertów od lat – ma liczne słabości kryptograficzne i jest podatne na ataki analityczne czy brute-force, zwłaszcza przy słabych hasłach serwisowych.

Na Kapitanie o Kerberos

Publikowane przez nas materiały trafnie wpisujące się w tematykę listu Wydena:

1. „Crakowanie biletów Kerberos kont serwisowych” – szczegółowy opis Kerberoastingu, jego mechanizmu, czynników ryzyka i podstaw obrony.
2. „Jak fałszywy PuTTY (…) przejmuje kontrolę nad Active Directory” – opis kampanii, w której Kerberoasting był końcowym etapem ataku. Warto zauważyć, iż słabości użycia RC4 i domyślnych ustawień zostały wykorzystane w praktyce.
3. „Niezwykle trudny do wykrycia sposób na odgadywanie nazw kont użytkowników w Active Directory” – choć nie identyczny atak, ukazuje problem odkrywania kont SPN lub podobnych mechanizmów, co może ułatwiać kolejne kroki ataku Kerberoasting.
4. „Przejęcie domeny Active Directory dzięki delegacji Kerberos” – artykuł pokazuje, jak błędne konfiguracje związane z delegowaniem Kerberos mogą prowadzić do zniszczenia całej domeny AD. Chociaż dotyczy innego aspektu Kerberos, koreluje z problemem braku zabezpieczeń we wszystkich obszarach AD.

Zagrożenia wynikające z domyślnej konfiguracji AD i Windows – na co uważać

Na podstawie listu Wydena i tego, o czym pisaliśmy wcześniej na Kapitanie, można wskazać konkretne obszary, w których najczęściej pojawiają się problemy:

• Domyślne włączone opcje słabego szyfrowania (np. RC4/HMAC) w Kerberos, brak wymuszenia AES.
• Ustawienia haseł dla kont serwisowych – zbyt krótkie, proste, długowieczne (rzadko zmieniane).
• Brak audytu/monitoringu związanych zdarzeń, takich jak żądania ticketów serwisowych Kerberos, użycie słabych algorytmów, próby lateral movement.
• Niewystarczające ostrzeganie użytkowników/klientów o potrzebie zmiany ustawień domyślnych – wiele organizacji nie zdaje sobie sprawy, iż są dotknięte.
• Opóźnienia w wdrażaniu poprawek, zapowiedzi zmian bez działania.
• Zbyt szerokie uprawnienia kont serwisowych lub delegowanie Kerberos bez ograniczeń (np. nieograniczone delegowanie).

Co należałoby zrobić? Dobre praktyki i rekomendacje

Poniżej publikujemy zbiór rekomendacji, które organizacje – zwłaszcza te używające Active Directory – powinny pilnie wdrożyć:

1. Wymuszanie silnego szyfrowania Kerberos
   • Ustawienie wymogu używania AES (np. AES256) dla wszystkich ticketów zamiast pozostawiania RC4 jako opcji domyślnej.
   • Rozważenie całkowitego wyłączenia RC4, jeżeli to możliwe, w środowiskach, które nie potrzebują kompatybilności ze starszymi systemami/aplikacjami.
2. Silne hasła dla kont serwisowych oraz wdrożenie procesu zarzadzania zmianą
   • Długość (co najmniej 25 znaków, jeżeli wymagania infrastruktury na to pozwalają).
   • Złożoność (cyfry, litery małe i duże, znaki specjalne).
   • Regularna zmiana haseł i rotacja kluczy.
   • Ograniczenie przydzielanych uprawnień dla kont serwisowych (zasada najmniejszych uprawnień).
3. Audyt i monitorowanie logów Active Directory
   • Włączenie audytu zdarzeń typu „Kerberos Service Ticket Operations”.
   • Monitorowanie zdarzeń takich jak Event ID 4769 – żądanie biletu serwisowego, szczególnie w kontekście RC4-HMAC.
   • Wykrywanie nadmiernej liczby zapytań o bilety serwisowe, żądań przez konta, które zwykle takich żądań nie składają.
   • Użycie SIEM/EDR do korelacji zdarzeń i wykrywania nietypowych aktywności.
4. Edukacja i świadomość wśród decydentów
   • Wdrażanie prostych komunikatów dla kadry zarządzającej (CISO, CIO, dyrektorów IT), wyjaśniających ryzyko wynikające z domyślnych ustawień.
   • Publikowanie przez producenta (np. Microsoft) jasnych ostrzeżeń i instrukcji dotyczących wymaganych ustawień bezpieczeństwa.
5. Regulacje i odpowiedzialność producentów
   • Podobnie jak postulaty Wydena, aby organy regulacyjne wymagały od firm takich jak Microsoft, by domyślnie dostarczały bezpieczne ustawienia, albo przynajmniej jasno informowały użytkowników o ryzykach.
   • Rozważenie wprowadzenia kar/sankcji, gdy producent jest opieszały z krytycznymi poprawkami, które były zapowiedziane.
6. Regularny przegląd konfiguracji AD (polecamy naszą usługę audytu)
   • Weryfikacja, czy delegowanie Kerberos, SPN, konta z wysokimi uprawnieniami, konta serwisowe są skonfigurowane zgodnie z najlepszymi praktykami.
   • Usuwanie zbędnych kont serwisowych lub SPN, które nie są używane.
   • Sprawdzanie, czy starsze technologie (np. starsze protokoły lub algorytmy) są naprawdę potrzebne.

Możliwe konsekwencje braku działania

Jeśli organizacje (lub dostawcy oprogramowania) przez cały czas będą ignorować te zagadnienia, można przewidzieć:

• Wzrost liczby udanych ataków ransomware i innych incydentów bezpieczeństwa, z większym zakresem szkód (finansowych, reputacyjnych, operacyjnych).
• Ryzyko dla bezpieczeństwa infrastruktury krytycznej – systemów opieki zdrowotnej, sektora finansowego, administracji publicznej.
• Rosnące zaufanie do regulacji prawnych – o ile producenci nie zadbają o domyślne zabezpieczenia, legislatorzy i agencje regulujące (jak FTC w USA) mogą wymuszać stosowanie się do nich.
• Dodatkowe koszty dla klientów końcowych – konieczność zakupu usług bezpieczeństwa, narzędzi ochronnych, przeszkolenia, audytów.

Podsumowanie

List senatora Wydena przypomina, jak istotne są detale: domyślne szyfrowanie, domyślne ustawienia kont serwisowych, brak egzekwowania najmniejszych uprawnień. Każdy administrator AD i każdy dział bezpieczeństwa powinien potraktować go jako sygnał alarmowy – bo to, co dzisiaj jest ostrzeżeniem, jutro może być koszmarem ransomware albo wielomilionowej szkody.