O Kerberoasting continua sendo um dos métodos preferidos de agentes maliciosos para movimentação lateral dentro de ambientes corporativos. Embora não seja um vetor de entrada, a ameaça representa um risco elevado em redes Windows com Active Directory mal configuradas — especialmente onde há uso de contas de serviço com senhas fracas, ausência de rotação de credenciais e criptografia legada habilitada.
De acordo com o boletim de segurança divulgado pelo Heimdall, núcleo de pesquisa da ISH Tecnologia, o método já é adotado por grupos de APTs (ameaças persistentes avançadas), além de ser amplamente utilizado por equipes de Red Teaming em simulações ofensivas internas.
O Kerberoasting explora o funcionamento normal do protocolo Kerberos, responsável por autenticar usuários e serviços em redes corporativas. Nessa técnica, o invasor solicita o chamado ticket de serviço (TGS), que funciona como uma “chave de acesso” criptografada com a senha da conta de serviço.
Mesmo sem saber essa senha, é possível capturar o ticket e tentar descobrir a senha real fora da rede, usando programas que testam milhões de combinações — um processo conhecido como força bruta. Com a senha em mãos, o criminoso pode se passar por um serviço legítimo e circular livremente pela rede, acessando dados e sistemas críticos.
O grande perigo do Kerberoasting é justamente parecer legítimo. A solicitação de tickets está dentro do fluxo normal do protocolo Kerberos, o que dificulta alertas automatizados. Muitas empresas sequer percebem que foram alvos até que o dano esteja feito, explica a ISH.
No Brasil, setores com grande volume de serviços legados, como governo, saúde, educação e finanças, são especialmente vulneráveis. Ambientes com domínios extensos, heranças de Active Directory mal mantidas e pouca visibilidade operacional estão entre os alvos mais explorados, segundo o boletim.
A equipe de Threat Intelligence da ISH propõe um conjunto de ações técnicas e operacionais para mitigar esse vetor:
Fortalecer contas de serviço: exigir senhas com ao menos 25 caracteres e complexidade elevada, além de implementar rotação periódica automatizada;
Reduzir a superfície de ataque: revisar e eliminar SPNs obsoletos, evitar o uso de contas padrão como contas de serviço, e aplicar o princípio do menor privilégio;
Desabilitar criptografias fracas: como RC4-HMAC, preferindo algoritmos modernos como AES-128 e AES-256;
Ativar auditorias e hunting proativo: especialmente o evento 4769 no log de segurança do Windows, focando em solicitações suspeitas com criptografia RC4 ou geração massiva de tickets.
Sobre a ISH Tecnologia
A ISH Tecnologia, empresa do grupo ISH Tech, foi fundada em 1996, e é uma empresa líder nos segmentos de cibersegurança, infraestrutura crítica e nuvens blindadas. Ocupa a 22ª posição no ranking das 250 principais provedoras de serviços de segurança gerenciados do mundo, publicado pela MSSP Alert. Com mais de 900 colaboradores e uma carteira de mais de 600 clientes de todos os setores da economia, atende cerca de 20% das 1000 maiores além de mais de 400 empresas de médio porte e órgãos públicos. A matriz fica em Vitória (ES), e a empresa mantém filiais em São Paulo, Rio de Janeiro, Belo Horizonte, Brasília, Curitiba, Goiânia e Pernambuco e subsidiária nos EUA.
Notícia distribuída pela saladanoticia.com.br. A Plataforma e Veículo não são responsáveis pelo conteúdo publicado, estes são assumidos pelo Autor(a):
Gabriel Chilio Jordão
[email protected]
.png){kind=logo}