PACRequestorEnforcement e Autenticazione Kerberos

Durante il Patch Tuesday di novembre 2021, Microsoft ha rilasciato nuovi aggiornamenti di sicurezza per Kerberos. Essi includono nuovi eventi di sistema e nuove strutture nel Kerberos Privileged Attribute Certificate (PAC). Vediamo quali impatti possono avere questi aggiornamenti sulle operazioni e sugli attacchi basati sui ticket di Kerberos.

Cosa c'è di nuovo?

Secondo gli aggiornamenti standard di Microsoft, ci sono alcuni nuovi articoli KB nonché aggiornamenti dei protocolli. Quello su cui ci concentreremo qui è KB5008380, che dettaglia gli aggiornamenti per CVE-2021-42287.

Chiave del Registro PACRequestorEnforcement

Gli aggiornamenti hanno sia una fase di distribuzione che una fase di applicazione. Per testare e velocizzare, puoi implementare l'applicazione in qualsiasi momento prima che venga rilasciato l'aggiornamento di applicazione (attualmente previsto per il 12 luglio 2022).

È possibile configurare il comportamento della patch applicando la chiave di registro DWORD PACRequestorEnforcement in HKEY_LOCAL_MACHINESystemCurrentControlSetServicesKdc sui controller di dominio.

PACRequestorEnforcement può avere i seguenti valori:

Aggiornamenti del protocollo

Gli aggiornamenti di novembre 2021 hanno incluso anche molteplici aggiornamenti dei protocolli per Kerberos e Active Directory; puoi trovare una panoramica di questi qui. Per maggiori dettagli, dovrai consultare l'errata e poi il documento delle differenze nell'errata.

Struttura PAC aggiornata

Il Privileged Attribute Certificate viene utilizzato per codificare le informazioni di autorizzazione per gli utenti autenticati; contiene l'appartenenza ai gruppi, la cronologia SID e le informazioni generali dell'utente. Negli aggiornamenti di Nov 2021, Microsoft ha aggiunto due nuove strutture dati all'interno del PAC: PAC_ATTRIBUTES_INFO e PAC_REQUESTOR. Quando PACRequestorEnforcement è impostato su 2, entrambi i nuovi campi sono richiesti affinché il biglietto Kerberos sia valido.

Una delle parti più interessanti degli aggiornamenti è la nuova validazione introdotta con la struttura PAC_REQUESTOR. Quando questa struttura è inclusa in un biglietto Kerberos, il KDC (domain controller) ora valida che il nome del client (cname) (noto anche come username) corrisponda allo stesso SID utilizzato nella struttura PAC_REQUESTOR, a condizione che il client e il KDC siano nello stesso dominio. Se non corrisponde, il TGT che è stato utilizzato viene automaticamente revocato e non può essere utilizzato. Questo accade solo quando il client e il KDC si trovano nello stesso dominio.

Cosa significa questo per i Golden Tickets?

Un Golden Ticket è un ticket Kerberos falsificato che gli aggressori utilizzano per accedere a risorse altamente privilegiate per lunghi periodi di tempo manipolando il PAC.

Quando la modalità di enforcement è attiva, gli strumenti che creano Golden Tickets saranno tenuti ad utilizzare il campo PAC_REQUESTOR, che è soggetto a validazione da parte del controller di dominio. Questo significa che i Golden Tickets per utenti inesistenti non sono più possibili quando si trovano tutti nello stesso dominio. Tuttavia, è ancora possibile utilizzare utenti inesistenti con Trust Tickets (Golden Tickets creati per autenticarsi tramite un trust poiché la validazione viene completata solo quando l'account si trova nello stesso dominio del controller di dominio).

I nuovi eventi (che sono dettagliati nelle note di aggiornamento) possono fornire ulteriori indicatori per i Golden Tickets, come exploit mal costruiti o non aggiornati. Questi nuovi eventi dovrebbero essere raccolti in un SIEM se stai utilizzando il registro eventi di Windows per il rilevamento delle minacce. La tabella sottostante dettaglia i diversi eventi:

Problemi con l'aggiornamento

Purtroppo, nella versione iniziale degli aggiornamenti di novembre 2021, alcuni scenari di Kerberos delegation sono stati compromessi, quindi è stata rilasciata una nuova patch fuori banda per i clienti che si trovavano di fronte a questo problema. Sander Berkouwer di DirTeam ha scritto un ottimo articolo su questo qui, con link a ciascuno degli KB disponibili.

Conclusione

Sebbene questo sia un buon aggiornamento e un passo nella giusta direzione, sarebbe ottimo se continuassimo a vedere ulteriori miglioramenti del protocollo da parte di Microsoft per Kerberos, come la convalida della nuova struttura PAC_REQUESTOR attraverso i trust (che dovrebbe eliminare tutti i Golden Tickets di utenti inesistenti), verificando che le appartenenze nel PAC siano quelle dell'utente risolto, e magari anche verificando che le informazioni nel profilo utente siano nel PAC e che la struttura del PAC sia conforme. Avere più rilevazioni e prevenzioni native a disposizione non è mai una cosa negativa e aiuterà le aziende a difendersi meglio.