Kerberoasting Nedir?
Kerberoasting, bir saldırganın Active Directory ağındaki servis hesaplarına (SPN) ait biletleri (Ticket Granting Service – TGS) talep ederek, bu biletlerin şifrelenmiş kısımlarını çevrimdışı (offline) ortamda kırmaya çalıştığı bir saldırı türüdür. Bu teknik, bir yazılım açığına ihtiyaç duymadan, Kerberos protokolünün çalışma prensibini suistimal eder ve düşük yetkili bir kullanıcıdan yüksek yetkili servis hesaplarına geçiş imkanı tanır.
Kerberoasting ve AS-REP Roasting: Active Directory Ortamlarında Parola Saldırıları
Kurumsal ağların kalbi olan Active Directory ortamlarında kimlik doğrulama süreçleri Kerberos protokolü üzerine inşa edilmiştir. Ancak bu güvenli protokol, zayıf parola politikaları ve hatalı yapılandırmalarla birleştiğinde Kerberoasting ve AS-REP Roasting gibi sinsi saldırı vektörlerine zemin hazırlar.
Kerberoasting, bir ağda geçerli bir kullanıcı hesabı olan saldırganın, servis hesaplarına (SPN) ait biletleri (TGS) talep edip bu biletleri kendi sistemine indirerek şifrelenmiş hash değerlerini çevrimdışı kırma işlemidir. Servis hesapları genellikle yüksek yetkilere sahip olduğundan, bu saldırı başarılı olursa saldırgan tüm domain yapısını ele geçirebilir.
AS-REP Roasting ise “Pre-Authentication” (Ön Doğrulama) özelliği devre dışı bırakılmış kullanıcı hesaplarını hedef alır. Bu zafiyette saldırgan, parola bilmesine gerek kalmadan sunucudan şifreli bir yanıt (AS-REP) alır ve bu yanıtı yine kendi bilgisayarında kırmaya çalışır.
Bu saldırılara karşı en güçlü savunma; servis hesapları için Grup Yönetimli Servis Hesapları (gMSA) kullanmak, parolaları minimum 25-30 karakterden oluşturmak ve Active Directory envanterinde pre-authentication özelliği kapalı kullanıcıları düzenli olarak denetlemektir. Kerberos güvenliği, sadece protokolün kendisiyle değil, o protokolü taşıyan hesapların “parola kalitesi” ile ölçülür.