Windows Kerberos è un protocollo di autenticazione usato per verificare l’identità di un utente o di un host. La prima versione è stata sviluppata in seno al MIT (Massachusetts Institute of Technology ) con Microsoft che applicò successivamente alcune modifiche, tutte documentate.
Kerberos è supportato e ampiamente utilizzato nei sistemi Windows essendo il punto di riferimento per le attività di autenticazione basate su dominio.
Di recente sono state però scoperte alcune vulnerabilità di sicurezza nell’implementazione di Kerberos (contraddistinte con gli identificativi CVE-2020-17049 e CVE-2020-16996) che possono consentire l’aggressione dei sistemi altrui.
Il ricercatore Jake Karnes spiega che il codice exploit utilizzabile per attaccare Kerberos in Windows è ormai pubblico quindi consiglia di installare prima possibile le patch rilasciate da Microsoft.
Battezzati attacchi Kerberos Bronze Bit essi approfittano dei bug di sicurezza individuati in due estensioni (S4U2self e S4U2proxy) direttamente supportate da Active Directory. Facendo leva sulle vulnerabilità un aggressore può acquisire privilegi elevati, impersonificare altri utenti e aggredire altri sistemi collegati alla stessa rete una volta compromesso il server Active Directory (cosiddetti “movimenti laterali”).
Per iniziare l’attacco un eventuale malintenzionato deve comunque avere già acquisito la possibilità di interagire con la specifica installazione di Active Directory. In altre parole l’aggressione non può avvenire in modalità remota se non fosse stato precedentemente “preparato il terreno”.
Come spiega Microsoft in questo documento di supporto tutte le realtà aziendali che utilizzino un controller di dominio basato su Windows Server ed Active Directory è bene che procedano quanto prima al download e all’installazione delle patch di dicembre 2020 che risolvono tutte le vulnerabilità note nell’implementazione del protocollo Kerberos.