Alfonso Maruccia

Kerberos, il cane addormentato dell'autenticazione su Windows

I ricercatori identificano una falla sistemica all'interno del protocollo usato per autenticare gli utenti sulle piattaforme Windows, un problema che non può essere risolto con una semplice patch

Roma - Kerberos, popolare protocollo per l'autenticazione degli utenti di rete basato su un sistema di crittografia a chiave simmetrica, è intrinsecamente vulnerabile ad attacchi che non possono essere fermati. Almeno per quel che riguarda le piattaforme Windows, dove l'ultima alternativa possibile al momento è tentare di salvaguardare gli utenti con privilegi di accesso più alti e abbandonare quello che non può essere difeso.

Non è un caso che Kerberos sia ospite frequente delle distribuzioni di patch mensili da parte di Microsoft, anche se il nuovo allarme lanciato dai ricercatori non riguarda una vulnerabilità specifica quanto piuttosto il modo con cui il protocollo è stato implementato sugli OS Windows.

Alla base del problema c'è l'utente "krbtgt", un account creato dopo la prima installazione del sistema operativo e che resta inattivo per anni: usando la password di default dell'account - che raramente viene cambiata - gli esperti hanno trovato vari modi per compromettere il sistema come la creazione di nuovi account, l'elevazione dei privilegi a livello di amministratore, la creazione di password segrete per gli account già presenti sul sistema e molto altro.
Buona parte dei nuovi attacchi non può essere mitigata, avvertono i ricercatori, perché "questo è semplicemente il modo in cui Kerberos funziona su Windows"; il focus degli amministratori IT deve quindi spostarsi sulla protezione degli account privilegiati a ogni costo, anche considerando che si tratta del "bottino" che in genere viene preso di mira da cyber-criminali e malintenzionati.

Microsoft ha reso noto di essere al corrente del problema e ha invitato gli utenti a seguire i consigli già messi a disposizione per proteggersi.


Alfonso Maruccia
Notizie collegate
  • SicurezzaMicrosoft e Adobe, fioccano le patchL'ultimo martedì di patch dell'anno si presenta parecchio corposo, con aggiornamenti pensati per chiudere un gran numero di falle critiche e bug già sfruttati dai cyber-criminali. Windows 10? Microsoft spinge per l'upgrade a tutti i costi
  • SicurezzaMicrosoft mette una pezza al Patch TuesdayRedmond rilascia un bollettino supplementare che era stato tenuto fuori lo scorso martedì. Serve a sistemare il protocollo Kerberos, che è già sotto attacco
  • TecnologiaMIT vuole un Kerberos universaleIl prestigioso istituto annuncia la creazione di un consorzio che avrà il compito di migliorare uno dei protocolli di autenticazione più diffusi al mondo, e farne un meccanismo di sign-on universale
6 Commenti alla Notizia Kerberos, il cane addormentato dell'autenticazione su Windows
Ordina