Luis Diaz

Kerberoasting - Comprometiendo Cuentas de Servicio en Active Directory

Kerberoasting

En entornos empresariales que utilizan Active Directory, la gestión de identidades y servicios es un punto crítico de seguridad. Sin embargo, incluso sin vulnerabilidades explícitas, es posible comprometer credenciales mediante el abuso de protocolos legítimos.

Uno de los ataques más efectivos en este contexto es el Kerberoasting, una técnica que permite a un atacante autenticado obtener credenciales de cuentas de servicio a través del protocolo Kerberos.

¿Qué es Kerberoasting?

Kerberoasting es un ataque que consiste en solicitar tickets de servicio (TGS) asociados a cuentas con Service Principal Names (SPN).

Estos tickets están cifrados con la contraseña de la cuenta de servicio, lo que permite a un atacante extraerlos y realizar ataques de cracking offline para recuperar credenciales válidas.

El flujo del protocolo Kerberos permite:

  • Solicitar acceso a un servicio dentro del dominio
  • Recibir un ticket cifrado con la clave del servicio
  • Presentar dicho ticket para autenticación

El problema radica en que cualquier usuario autenticado puede solicitar estos tickets, lo que abre la puerta a su explotación.

Flujo del ataque

1. Enumeración de SPNs

El atacante identifica cuentas con SPNs configurados dentro del dominio. 

GetUserSPNs.py dominio.local/user:password -dc-ip <IP>

2. Solicitud de tickets (TGS)

Una vez identificadas, se solicitan los tickets asociados a estas cuentas. 

GetUserSPNs.py dominio.local/user:password -request

3. Extracción de hashes

Los tickets obtenidos contienen hashes que pueden ser utilizados para ataques offline.

4. Cracking offline

hashcat -m 13100 hashes.txt wordlist.txt

Los peligros que puede enfrentar una empresa con kerberoasting

  • No requiere privilegios elevados
  • Genera poco ruido en la red
  • Permite ataques offline
  • Es común en entornos corporativos mal configurados

Algunos errores comunes

  • Cuentas de servicio con contraseñas débiles
  • Falta de rotación de credenciales
  • SPNs mal gestionados
  • Cuentas privilegiadas asociadas a servicios

Mitigación

  • Uso de contraseñas robustas en cuentas de servicio
  • Implementación de cuentas gMSA
  • Rotación periódica de credenciales
  • Monitoreo de solicitudes de tickets
  • Aplicación del principio de mínimo privilegio

Ponte pilas

Kerberoasting demuestra cómo el abuso de funcionalidades legítimas puede comprometer la seguridad de un entorno completo.

Para un pentester, representa una técnica clave de post-explotación. Para un equipo defensivo, es una señal clara de debilidades en la gestión de identidades.

Redes Sociales