Kerberos, il cane addormentato dell'autenticazione su Windows

Kerberos , popolare protocollo per l’autenticazione degli utenti di rete basato su un sistema di crittografia a chiave simmetrica, è intrinsecamente vulnerabile ad attacchi che non possono essere fermati. Almeno per quel che riguarda le piattaforme Windows, dove l’ultima alternativa possibile al momento è tentare di salvaguardare gli utenti con privilegi di accesso più alti e abbandonare quello che non può essere difeso.

Non è un caso che Kerberos sia ospite frequente delle distribuzioni di patch mensili da parte di Microsoft, anche se il nuovo allarme lanciato dai ricercatori non riguarda una vulnerabilità specifica quanto piuttosto il modo con cui il protocollo è stato implementato sugli OS Windows.

Alla base del problema c’è l’utente “krbtgt”, un account creato dopo la prima installazione del sistema operativo e che resta inattivo per anni: usando la password di default dell’account – che raramente viene cambiata – gli esperti hanno trovato vari modi per compromettere il sistema come la creazione di nuovi account, l’elevazione dei privilegi a livello di amministratore, la creazione di password segrete per gli account già presenti sul sistema e molto altro.

Buona parte dei nuovi attacchi non può essere mitigata, avvertono i ricercatori, perché “questo è semplicemente il modo in cui Kerberos funziona su Windows”; il focus degli amministratori IT deve quindi spostarsi sulla protezione degli account privilegiati a ogni costo, anche considerando che si tratta del “bottino” che in genere viene preso di mira da cyber-criminali e malintenzionati.

Microsoft ha reso noto di essere al corrente del problema e ha invitato gli utenti a seguire i consigli già messi a disposizione per proteggersi.

Alfonso Maruccia