Silver Ticket
Última actualización
¿Te fue útil?
Última actualización
¿Te fue útil?
OBJETIVO DEL EJERCICIO #26:
Este ejercicio deberia ser realizado desde el servidor de First-DC.
Para realizarlo es suficiente tener encendido UNICAMENTE First-DC | USER-SERVER | WEBSERVER.
El "Silver Ticket" es un tipo de ataque en un entorno de Active Directory que explota el servicio de autenticación Kerberos. Este ataque es una variante del más conocido "Golden Ticket".
¿Qué es un Silver Ticket? Un Silver Ticket puede ser generado por un atacante que ya ha obtenido ciertas credenciales de seguridad de un dominio, específicamente el hash de la contraseña de una cuenta de servicio o de la cuenta de computadora (NTLM hash) asociada a un servicio específico en el dominio. Con este hash, el atacante puede crear un ticket de servicio Kerberos (TGS), que es considerado válido para el servicio específico al que está asociado el hash.
¿Cómo funciona? El proceso de autenticación de Kerberos en Active Directory implica dos tipos principales de tickets: el Ticket Granting Ticket (TGT) y el Ticket Granting Service (TGS). El TGT se utiliza para solicitar TGSs para servicios específicos. En un ataque de Silver Ticket, un atacante utiliza un TGS falsificado para acceder a un servicio específico sin la necesidad de autenticarse a través del Controlador de Dominio (DC).
¿Qué puede hacer un atacante con un Silver Ticket? A diferencia del Golden Ticket, que brinda acceso a cualquier servicio dentro del dominio, el Silver Ticket se limita al servicio para el cual fue generado. Por ejemplo, si un atacante tiene el hash de la cuenta de un servidor de archivos, puede emitir un Silver Ticket para autenticarse contra ese servidor de archivos específico y tener los mismos derechos que la cuenta de servicio comprometida.
Riesgos del Silver Ticket: Los riesgos asociados con los Silver Tickets incluyen pero no se limitan a:
Acceso no autorizado a servicios específicos como servidores de archivos, servidores de bases de datos, o cualquier otro servicio que use Kerberos para la autenticación.
Posibilidad de moverse lateralmente dentro de la red utilizando los permisos del servicio comprometido.
Dificultad para detectar el ataque, ya que no requiere la interacción con el Controlador de Dominio para validar el ticket después de su creación.
Mitigación: Para mitigar los riesgos asociados con los Silver Tickets, las organizaciones deben:
Utilizar contraseñas fuertes y únicas para las cuentas de servicio y las cuentas de computadoras.
Cambiar regularmente estas contraseñas.
Habilitar la Protección de Credenciales en Windows (Credential Guard).
Monitorizar la actividad sospechosa en las cuentas de servicio, como autenticaciones inusuales o en horas no laborales.
Implementar una solución de detección de intrusiones que pueda identificar anomalías en el uso de tickets de servicio Kerberos.