image

Microsoft publiceert script voor resetten KRBTGT-wachtwoord

donderdag 12 februari 2015, 10:43 door Redactie, 0 reacties

Microsoft heeft een script gepubliceerd waarmee organisaties het wachtwoord van het zogeheten KRBTGT-account kunnen resetten, wat moet voorkomen dat aanvallers met een gestolen KRBTGT-account toegang tot vertrouwelijke gegevens op het netwerk krijgen. Onderzoekers zouden zich namelijk steeds vaker richten op het ontwikkelen van aanvalsmethodes voor de Kerberos-authenticatie.

Kerberos is een standaard authenticatieprotocol waarmee gebruikers zich op een veilige manier op het netwerk kunnen aanmelden en hun identiteit kunnen bewijzen, zonder zich telkens opnieuw te moeten aanmelden. Kerberos-authenticatie werkt met het toekennen van een ticket aan een ingelogde gebruiker. Deze tickets zijn versleuteld met een symmetrische sleutel die is afgeleid van het wachtwoord van de server waar de gebruiker op inlogt.

Om een sessieticket aan te kunnen vragen moet er een speciaal ticket, genaamd het Ticket Granting Ticket (TGT), aan de Kerberos-service worden aangeboden. Het TGT wordt zoals gezegd versleuteld met een sleutel die is afgeleid van het wachtwoord van het KRBTGT-account, dat alleen bij de Kerberos-service bekend is. Een gestolen accountwachtwoord kan dan ook grote gevolgen hebben, omdat een aanvaller zich hiermee als andere gebruikers kan voordoen en zo toegang tot gevoelige gegevens kan krijgen.

Eén manier om het risico te verkleinen dat een aanvaller een gecompromitteerde KRBTGT-sleutel gebruikt om gebruikerstickets te vervalsen is het periodiek resetten van het KRBTGT-accountwachtwoord. Door dit regelmatig te doen wordt de bruikbare levensduur van de KRBTGT-sleutels beperkt in het geval een aanvaller er toegang toe weet te krijgen. Microsoft heeft nu een script en bijbehorend advies beschikbaar gemaakt om het wachtwoord regelmatig te resetten.

"Het is belangrijk om te onthouden dat het resetten van KRBTGT slechts één onderdeel van een recovery-strategie is en alleen niet zal voorkomen dat een eerder succesvolle aanvaller in de toekomst ongeautoriseerde toegang tot een gehackte omgeving krijgt", zegt Microsoft Tim Rains. Hij adviseert organisaties dan ook om een uitgebreid recoveryplan op te stellen.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.