I sistemi di protezione informatica sono in costante evoluzione: è fondamentale garantire che Kerberos utilizzi l’AES al posto dell’RC4. Scopriamo come.
Nell’odierna era digitale, l’importanza del rafforzamento della sicurezza dell’Active Directory (AD) non può essere sottovalutata. La serie di misure di miglioramento della sicurezza dell’AD, un frammento significativo dell’infrastruttura IT di qualsiasi azienda, dovrebbe includere lo switch dalla codifica RC4 all’Advanced Encryption Standard (AES) per Kerberos, elemento cruciale nella gestione dell’identità degli utenti e dei servizi.
Trattare la cifratura per Kerberos è di fondamentale importanza dato che RC4, ben noto per le sue debolezze, è suscettibile agli attacchi di tipo ‘roasting’. Infatti, l’attributo msDS-SupportedEncryptionTypes del target decide la cifratura dei ticket per le richieste di servizio (AS-REQ), e se il valore è vuoto, il Key Distribution Center (KDC) selezionerà RC4 per impostazione predefinita. Questo comporta grossi rischi per la sicurezza, pertanto è cruciale perfezionare i server Kerberos per usare obbligatoriamente l’AES al posto dell’RC4.
Rilevare e identificare i sistemi che dipendono da RC4 rappresenta una tappa vitalissima, seppur storicamente complicata. La soluzione ideale potrebbe risiedere nelle potenzialità dei 4768 events che potrebbero svolgere un ruolo significativo nel rilevamento di questi dispositivi. Un elemento importante da considerare qui è il tipo di cifratura del ticket presente negli eventi 4768, che riflette la chiave di sessione fornita con il Ticket Granting Ticket (TGT). Questo è importante perché la scelta della codifica delle chiavi di sessione si basa sui parametri negoziati dal dispositivo durante la richiesta AS-REQ. Di conseguenza, gli eventi 4768 possono essere utilizzati per identificare i dispositivi che supportano solo RC4.
L’AES, d’altro canto, vanta una struttura di chiave simmetrica molto più robusta rispetto a RC4, garantendo l’integrità dei dati e proteggendo da potenziali attacchi. Quindi, l’AES dovrebbe essere la scelta preferibile quando si tratta di scegliere il tipo di cifratura delle chiavi per Kerberos. Molto più sicuro di RC4, AES riduce significativamente la probabilità di attacchi di roasting.
Microsoft, per esempio, ha apportato significativi miglioramenti al suo Kerberos in termini di sicurezza. Ha impostato l’AES come cifratura predefinita per Kerberos, dimostrando quanto sia cruciale garantire la sicurezza dei dati e le informazioni archiviate.
Non lasciare nulla al caso quando si tratta di proteggere i sistemi informatici da potenziali minacce. L’implementazione dell’AES per Kerberos è un passo essenziale per rafforzare la sicurezza dell’Active Directory, diminuendo la vulnerabilità ai cosiddetti attacchi di roasting. Questo approccio proattivo alla sicurezza informatica si dimostra fondamentale nello scenario attuale, dove le minacce informatiche sono in costante evoluzione.