Kerberoasting Nedir?
Kerberoasting, bir saldırganın Active Directory ağındaki servis hesaplarına (SPN) ait biletleri (Ticket Granting Service – TGS) talep ederek, bu biletlerin şifrelenmiş kısımlarını çevrimdışı (offline) ortamda kırmaya çalıştığı bir saldırı türüdür. Bu teknik, bir yazılım açığına ihtiyaç duymadan, Kerberos protokolünün çalışma prensibini suistimal eder ve düşük yetkili bir kullanıcıdan yüksek yetkili servis hesaplarına geçiş imkanı tanır.
Pass-the-Hash ve Pass-the-Ticket Saldırıları: Kimlik Doğrulama Mekanizmalarına Yönelik Tehditler
Kurumsal ağ güvenliğinde en büyük risklerden biri, saldırganın kullanıcı parolasını hiç bilmeden, sistemde geçerli bir kimlik doğrulaması yapabilmesidir. Pass-the-Hash (PtH) ve Pass-the-Ticket (PtT), Windows kimlik doğrulama mekanizmalarının çalışma prensiplerini istismar ederek yetkisiz erişim elde etmeyi sağlayan sinsi saldırı vektörleridir.
Pass-the-Hash, Windows’un NTLM protokolünü hedef alır. Saldırgan, bir sistemin belleğinden (LSASS süreci gibi) elde ettiği parola hash değerini, parolanın kendisiymiş gibi kullanarak ağdaki diğer makinelere giriş yapabilir.
Pass-the-Ticket ise Kerberos protokolüne odaklanır. Burada saldırgan, parolanın hash değerini değil, kullanıcının o anki oturumu için oluşturulmuş olan ve bellekte saklanan Kerberos biletlerini (TGT/TGS) çalar. Bu biletleri kendi oturumuna “enjekte ederek”, Active Directory ortamında yasal bir kullanıcı gibi dolaşabilir.
Bu saldırılara karşı en etkili savunma; Windows Credential Guard kullanarak kimlik bilgilerini izole etmek, yerel yönetici parolalarını LAPS ile benzersiz kılmak ve ağ içerisinde ayrıcalıklı hesapların (Domain Admin gibi) düşük güvenlikli makinelerde oturum açmasını engelleyen “Tiered Administration” (Kademeli Yönetim) modelini benimsemektir. Kimlik hırsızlığı, sadece parolanın çalınması değil, o parolayı temsil eden her türlü dijital izin belgesinin (token/hash/ticket) ele geçirilmesidir.
Kerberoasting ve AS-REP Roasting: Active Directory Ortamlarında Parola Saldırıları
Kurumsal ağların kalbi olan Active Directory ortamlarında kimlik doğrulama süreçleri Kerberos protokolü üzerine inşa edilmiştir. Ancak bu güvenli protokol, zayıf parola politikaları ve hatalı yapılandırmalarla birleştiğinde Kerberoasting ve AS-REP Roasting gibi sinsi saldırı vektörlerine zemin hazırlar.
Kerberoasting, bir ağda geçerli bir kullanıcı hesabı olan saldırganın, servis hesaplarına (SPN) ait biletleri (TGS) talep edip bu biletleri kendi sistemine indirerek şifrelenmiş hash değerlerini çevrimdışı kırma işlemidir. Servis hesapları genellikle yüksek yetkilere sahip olduğundan, bu saldırı başarılı olursa saldırgan tüm domain yapısını ele geçirebilir.
AS-REP Roasting ise “Pre-Authentication” (Ön Doğrulama) özelliği devre dışı bırakılmış kullanıcı hesaplarını hedef alır. Bu zafiyette saldırgan, parola bilmesine gerek kalmadan sunucudan şifreli bir yanıt (AS-REP) alır ve bu yanıtı yine kendi bilgisayarında kırmaya çalışır.
Bu saldırılara karşı en güçlü savunma; servis hesapları için Grup Yönetimli Servis Hesapları (gMSA) kullanmak, parolaları minimum 25-30 karakterden oluşturmak ve Active Directory envanterinde pre-authentication özelliği kapalı kullanıcıları düzenli olarak denetlemektir. Kerberos güvenliği, sadece protokolün kendisiyle değil, o protokolü taşıyan hesapların “parola kalitesi” ile ölçülür.