¿Qué es el ataque Golden Ticket?

El ataque Golden Ticket está relacionado con Windows. Fue nombrado así por la empresa de seguridad informática Microsoft, ya que aprovecha una vulnerabilidad en el sistema de autenticación de dominio de Windows, conocido como Kerberos.

El ataque Golden Ticket le permite a un atacante comprometer la infraestructura de autenticación de dominio de Windows y generar un billete de autenticación (ticket), que le otorga acceso completo y persistente a un dominio de Windows. Esto significa que el atacante podría tener control total sobre los sistemas y recursos de ese dominio sin necesidad de conocer las contraseñas reales de las cuentas de usuario.

Veamos cómo funciona el ataque Golden Ticket y cómo prevenirlo.

¿En qué consiste el ataque Golden Ticket?

Para llevar a cabo el ataque Golden Ticket, el atacante necesita obtener acceso inicial a un controlador de dominio de Windows dentro de la infraestructura objetivo. A partir de ahí, puede extraer información sensible relacionada con el sistema Kerberos, como claves criptográficas utilizadas para la autenticación de dominio.

Con esta información, el atacante puede generar un Golden Ticket falso, que contiene una firma criptográfica válida, lo que engaña a los sistemas de Windows para que lo reconozcan como un ticket auténtico y confiable. Este Golden Ticket puede tener un tiempo de vida muy largo (por ejemplo, 10 años), lo que le brinda al atacante un acceso prolongado al dominio sin ser detectado.

Pasos en el proceso de ataque Golden Ticket

Debido a la complejidad del ataque Golden Ticket, es necesario que quienes lo ejecuten tengan un conocimiento avanzado de Windows y Kerberos. Veamos el paso a paso de cómo se construye un ataque de este tipo:

1. Obtención de acceso inicial. En el ciberataque Golden Ticket, el atacante necesita obtener acceso inicial a un controlador de dominio de Windows dentro del entorno objetivo.
2. Extracción de claves criptográficas. Una vez el atacante tiene acceso al controlador de dominio, su objetivo es extraer las claves criptográficas utilizadas por el sistema Kerberos para autenticar los tickets. Estas claves, conocidas como claves de cifrado de servicio (KRBTGT), son fundamentales para generar tickets de autenticación válidos.
3. Generación del Golden Ticket. Con las claves KRBTGT en su posesión, el atacante puede generar un Golden Ticket falso. El Golden Ticket es un ticket de autenticación con una firma criptográfica válida, que le permite al atacante hacerse pasar por cualquier usuario dentro del dominio, incluso uno con privilegios elevados, como un administrador.
4. Persistencia y acceso completo. El Golden Ticket generado por el atacante tiene un tiempo de vida largo; puede establecerse en un valor alto, como 10 años. Esto le otorga al atacante acceso persistente al dominio durante un periodo prolongado sin ser detectado. El atacante puede acceder a los sistemas, recursos y datos dentro del dominio, de modo que puede realizar acciones maliciosas o escalando aún más sus privilegios.

¿Cómo funciona el ataque Golden Ticket?

El ataque Golden Ticket se basa en una explotación de la infraestructura de autenticación de dominio de Windows, específicamente del sistema Kerberos. Para comprender cómo funciona este ataque, es necesario entender el flujo normal de autenticación Kerberos:

1. Solicitud de autenticación. Un usuario envía una solicitud de autenticación a un controlador de dominio de Windows. Esta solicitud contiene la identificación del usuario y se denomina TGT (Ticket-Granting Ticket).
2. Generación del TGT. El controlador de dominio verifica la identidad del usuario y genera un TGT firmado criptográficamente. Este TGT es un billete de autenticación que el usuario puede utilizar para solicitar tickets de servicio adicionales sin necesidad de proporcionar sus credenciales en cada solicitud.
3. Solicitud de tickets de servicio. Una vez que el usuario tiene el TGT, puede solicitar tickets de servicio para acceder a recursos específicos, como servidores de archivos, bases de datos, impresoras, etc.
4. Generación de tickets de servicio. El controlador de dominio genera tickets de servicio firmados para los recursos solicitados. Estos le permiten al usuario acceder a los recursos sin necesidad de proporcionar sus credenciales nuevamente.

¿Quieres seguir aprendiendo?

El ataque Golden Ticket es peligroso y para evitarlo debemos seguir normas estrictas de seguridad. Si quieres aprender a manejar y entender este tipo de ataques, te invitamos a formar parte de nuestro Ciberseguridad Full Stack Bootcamp. Con la guía de esta formación de alta intensidad y nuestros profesores expertos, aprenderás todo lo necesario tanto a nivel teórico como práctico para impulsar tu carrera IT en muy pocos meses. ¡Accede ahora para solicitar información y atrévete a transformar tu vida!