Cuentas con privilegios que ejecutan servicios de Kerberos

En 2014, surgió un nuevo tipo de ataque denominado Kerberoast que tiene como objetivo las cuentas de usuario de dominio con privilegios al explotar los mecanismos internos del protocolo de autenticación Kerberos. La meta del atacante es descubrir la contraseña de texto no cifrado de una cuenta, lo que le otorga derechos asociados.
Este ataque puede ocurrir desde el interior de un entorno de Active Directory mediante una sencilla cuenta de usuario sin privilegios. Si hay establecido un atributo específico de Active Directory (servicePrincipalName) en una cuenta, esto afecta a la seguridad subyacente de esta cuenta. La contraseña de esta cuenta se puede adivinar, y los mecanismos de seguridad tradicionales que bloquean una cuenta después de varios errores en la contraseña no pueden impedir los ataques exhaustivos a las contraseñas.
En general, el objetivo son algunas cuentas con muchos privilegios (p. ej., usuarios del grupo Administradores de dominio). Esas cuentas pueden llevar a una vulneración de todo el dominio muy rápidamente y, por lo tanto, deben protegerse frente a esta amenaza de configuración de Kerberos.
El indicador de ataque Kerberoasting puede poner en alerta al personal de seguridad si un atacante intenta explotar esta vulnerabilidad. Sin embargo, es necesario corregir el problema subyacente para proteger las cuentas con muchos privilegios, lo que puede llevar a una vulneración de todo el dominio rápidamente.

Las cuentas con privilegios no deberían tener un Service Principal Name.

Nombre: Cuentas con privilegios que ejecutan servicios de Kerberos

Nombre en clave: C-PRIV-ACCOUNTS-SPN

Gravedad: Critical

Tipo: Active Directory Indicator of Exposure

Family: Cuentas privilegiadas