Los actores maliciosos buscan constantemente formas de eludir los mecanismos de autenticación para conseguir accesos no autorizados. Una táctica habitual es explotar las vulnerabilidades en protocolos de autenticación como Kerberos, que se utiliza de forma generalizada para la seguridad de red en entornos con Microsoft Active Directory (AD).
Un ataque Silver Ticket es un ataque posterior al exploit en el que un adversario falsifica un ticket de servicio de Kerberos (TGS) para acceder a servicios específicos sin necesidad de que el controlador de dominio vuelva a autenticarlo. A diferencia de un ataque Golden Ticket, que otorga control total del dominio, un ataque Silver Ticket es más específico y permite que los adversarios hagan un uso indebido de una cuenta de servicio específica mientras se eluden ciertos controles de seguridad. Prevenir y detectar los ataques Silver Ticket es fundamental para proteger la infraestructura de Active Directory de una organización.
¿Qué es un ataque Silver Ticket?
En la autenticación Kerberos, un "ticket" es un token criptográfico emitido por el centro de distribución de claves (KDC) para autenticar a los usuarios y concederles acceso a los servicios.
Un Silver Ticket es un ticket de servicio falsificado que permite a un ciberdelincuente autenticarse directamente en un servicio sin interactuar con el KDC. Estos tickets falsificados se cifran usando el hash de contraseña de la cuenta de servicio, lo que permite acceder al servicio atacado sin un ticket de servicio que otorga tickets (TGT) válido.
A diferencia de los ataques Golden Ticket, que comprometen el hash de la cuenta Kerberos Ticket Granting Ticket (KRBTGT) (que otorga persistencia a nivel de dominio), los ataques Silver Ticket explotan los hashes de cuentas de servicio, por lo que son más difíciles de detectar y, a menudo, más sigilosos.
Diferencias principales entre los ataques con tickets de Kerberos
| Persistence | |||
|---|---|---|---|
| Golden Ticket | Control total del dominio | Hash de la cuenta KRBTGT | A largo plazo |
| Silver Ticket | Acceso a los servicios atacados | Hash de la cuenta de servicio | Limitada pero sigilosa |
| Diamond Ticket | Reutilización de TGT legítimos | TGT extraído de la memoria | A corto plazo |
Cómo funcionan los ataques Silver Ticket
Para lanzar un ataque Silver Ticket, un ciberdelincuente debe tener ya acceso local de administrador en un equipo comprometido y obtener el hash NTLM de la cuenta de servicio objetivo. El ataque sigue estos pasos:
- Recopilar información: el ciberdelincuente recopila detalles del dominio como el identificador de seguridad de dominio (SID) y el nombre DNS del servicio objetivo.
- Obtener el hash NTLM: el ciberdelincuente extrae el hash NTLM de una cuenta de servicio, a menudo de un servicio mal configurado que se ejecuta con privilegios elevados. Esto se puede lograr mediante técnicas de volcado de credenciales utilizando herramientas como Mimikatz.
- Falsificar un ticket de servicio (TGS): el ciberdelincuente crea y cifra un ticket de servicio falso usando el hash de la cuenta de servicio robada, lo que permite la autenticación al servicio objetivo.
- Usar el ticket falsificado: el ciberdelincuente presenta el TGS falsificado al servicio y obtiene acceso sin nunca necesitar un ticket de servicio que otorga tickets (TGT) del controlador de dominio (DC).
- Elevar privilegios y moverse lateralmente: los ciberdelincuentes pueden usar acceso Silver Ticket para ejecutar código como cuenta de servicio, elevar privilegios en el sistema local o pivotar para comprometer aún más el entorno.
Prevención de ataques Silver Ticket
Para prevenir ataques Silver Ticket, las organizaciones deben centrarse en proteger las cuentas de servicio y monitorizar comportamientos de autenticación anormales para detectar y mitigar posibles amenazas.
1. Proteger Active Directory
Implementar el principio del mínimo de privilegios garantiza que las cuentas de servicio solo tengan los permisos mínimos necesarios para funcionar, lo que reduce el riesgo de ataque. La monitorización de la actividad de las cuentas de servicio permite a las organizaciones detectar comportamientos inusuales, como inicios de sesión inesperados o intentos de acceso no autorizados. Cambiar regularmente las contraseñas de las cuentas de servicio reduce aún más la probabilidad de que los ciberdelincuentes mantengan el acceso persistente. Además, reforzar la cuenta KRBTGT (aunque no participe directamente en los ataques Silver Ticket) ayuda a limitar el movimiento lateral y el compromiso del dominio.
2. Reducir el riesgo de robo de credenciales
Para minimizar el robo de credenciales, las organizaciones deberían imponer la autenticación multifactor para las cuentas privilegiadas, lo que dificulta significativamente que los ciberdelincuentes saquen partido a las credenciales robadas. Limitar el uso de cuentas de servicio evitando la ejecución de servicios innecesarios con privilegios elevados también reduce la exposición. Utilizar cuentas de servicio gestionado es otra estrategia eficaz, ya que estas cuentas rotan automáticamente las contraseñas, lo que elimina la necesidad de gestión manual de contraseñas y reduce el riesgo de compromiso.
3. Detectar y responder a ataques Silver Ticket
Detectar un ataque Silver Ticket requiere una monitorización continua de la actividad de autenticación de Kerberos. Los equipos de seguridad deben detectar actividades anómalas de tickets de servicio (TGS), como tickets de duración inusualmente larga o reutilizados, que puedan indicar un ataque en curso. Inspeccionar los logs de autenticación para los inicios de sesión desde cuentas de servicio en momentos o ubicaciones inesperadas puede proporcionar señales tempranas de compromiso. Las soluciones de análisis de comportamiento pueden ayudar a identificar patrones de autenticación irregulares que se apartan del comportamiento normal del usuario. Por último, usar herramientas de protección de identidad en tiempo real, como CrowdStrike Falcon® Identity Protection, permite una monitorización continua de la actividad sospechosa de tickets de Kerberos y una respuesta automatizada, lo que garantiza una detección y mitigación de amenazas más rápida.
Mediante la implementación de medidas de seguridad proactivas, la monitorización continua del uso de cuentas de servicio y la utilización de soluciones avanzadas de protección de identidad, las organizaciones pueden prevenir, detectar y mitigar eficazmente los ataques Silver Ticket antes de que se agraven a incidentes de seguridad a gran escala.
Informe sobre Threat Hunting 2024
En el Informe sobre Threat Hunting 2024 de CrowdStrike, se desvelan las últimas tácticas de más de 245 adversarios modernos, y se muestra cómo sus ataques siguen evolucionando e imitando el comportamiento de usuarios legítimos. Accede aquí a información para evitar las brechas.
Descargar ahoraMitigación y respuesta ante ataques Silver Ticket
Los ataques Silver Ticket son peligrosos porque eluden la validación del controlador de dominio y permiten la elevación sigilosa de privilegios. Si se detecta un ataque, las organizaciones deben actuar rápidamente para contener la amenaza.
Pasos de la respuesta a incidentes
- Identificar la cuenta de servicio afectada: revisa los logs para determinar qué cuenta de servicio se utilizó en el ataque.
- Restablecer la contraseña de la cuenta de servicio comprometida: esto invalida los Silver Tickets falsificados vinculados a esa cuenta.
- Analizar el movimiento lateral: determinar si los ciberdelincuentes elevaron privilegios o comprometieron sistemas adicionales.
- Reforzar los mecanismos de autenticación: asegúrate de que se aplica la MFA para los usuarios con privilegios y de que los permisos de las cuentas de servicio sean mínimos.
- Investigar la causa raíz: determina cómo obtuvo el ciberdelincuente el acceso inicial para evitar futuras brechas.
Contramedidas adicionales:
- Activar la validación de certificados de atributos privilegiados (PAC): impide que los ciberdelincuentes modifiquen los atributos de los tickets de Kerberos.
- Implementa políticas de contraseñas fuertes: utiliza contraseñas largas y aleatorias para las cuentas de servicio y cámbialas con frecuencia.
- Restringir privilegios administrativos: evita que los ciberdelincuentes eleven el acceso de silver ticket hasta un compromiso total del dominio.
Al reforzar la seguridad de la identidad, monitorizar la actividad de autenticación y aplicar el privilegio mínimo, las organizaciones pueden prevenir, detectar y mitigar ataques Silver Ticket antes de que pasen a ser compromisos de dominio a gran escala.
Protección de la superficie de ataque con CrowdStrike
Un ataque Silver Ticket es una técnica poderosa que utilizan los ciberdelincuentes para mantener el acceso a un entorno empresarial. Dado que explota una debilidad fundamental en la autenticación Kerberos, la prevención requiere un enfoque de seguridad de varias capas que combine protección de identidad, sólida seguridad de AD, detección de comportamiento y Threat Hunting proactivo.
Unifica la detección y respuesta en toda tu pila de seguridad con CrowdStrike Falcon® XDR™ y Falcon® Identity Protection para detectar y mitigar las amenazas avanzadas basadas en la identidad.
Kurt Baker ocupa el cargo de Senior Director of Product Marketing para Falcon Intelligence de CrowdStrike. Cuenta con más de 25 años de experiencia en puestos directivos de alto nivel y su especialidad son las empresas de software emergentes. Es experto en inteligencia sobre amenazas, análisis de seguridad, gestión de la seguridad y protección avanzada frente a amenazas. Antes de incorporarse a CrowdStrike, Baker desempeñaba cargos técnicos en Tripwire y ha participado en la fundación de startups en mercados que van desde las soluciones de seguridad para empresas hasta los dispositivos móviles. Posee una licenciatura en filosofía y letras de la Universidad de Washington y en la actualidad reside en Boston, Massachusetts (EE. UU.).
