APPROFONDIMENTI E NEWS

Kerberos e RC4: perché è un problema di Security

Se gestisci un ambiente Active Directory, probabilmente hai già sentito parlare dei problemi di sicurezza legati all’algoritmo RC4 in Kerberos. Ma sai davvero perché rappresenta un rischio concreto per la tua organizzazione?

Il problema va oltre la debolezza dell’algoritmo: è il modo stesso in cui Kerberos gestisce le chiavi crittografiche che espone la tua infrastruttura ad attacchi pericolosi come il Kerberoasting.

In questo articolo vedremo come funziona Kerberos con RC4 e AES, i rischi legati al Kerberoasting e i passaggi concreti per mettere in sicurezza la tua Active Directory.

kerberos e rc4 rischi per la sicurezza in active directory

Come funziona Kerberos lato encryption

Kerberos è il protocollo di autenticazione di default su Active Directory che protegge milioni di reti aziendali ogni giorno. Ma non tutti i sistemi Kerberos sono uguali: tutto dipende da come vengono generate le chiavi crittografiche.

Kerberos con RC4

Quando Kerberos utilizza l’algoritmo RC4, la chiave di cifratura è generata in modo estremamente semplice: è direttamente l’hash della password dell’utente, senza ulteriori elaborazioni o passaggi di sicurezza.

Questo approccio “diretto” rende Kerberos vulnerabile ad attacchi come il Kerberoasting, poiché un attaccante può testare milioni di combinazioni di password in pochissimo tempo (brute-force).

Rischi principali di RC4:

  • Maggiore probabilità di compromissione degli account di servizio
  • Rischio elevato di escalation di privilegi in Active Directory
  • Difficoltà nel rilevare l’attacco tramite i log di sistema

Kerberos con AES

L’utilizzo di AES (Advanced Encryption Standard) in Kerberos migliora drasticamente la protezione delle credenziali.

A differenza di RC4, con AES la chiave non deriva direttamente dall’hash della password: il sistema esegue 4096 iterazioni di hashing, combinando Password + Username + Nome di Dominio.

Questo processo rende ogni tentativo di cracking molto più lento e complesso, aumentando la sicurezza della tua infrastruttura.

Kerberoasting: l’attacco che sfrutta RC4

Il Kerberoasting è una delle tecniche più usate dagli attaccanti per compromettere le reti aziendali.

Come funziona

  1. L’attaccante richiede ticket di servizio (TGS) al domain controller
  2. Scarica i ticket e li analizza offline
  3. Usa tool di cracking per decifrare le password

Confronto RC4 vs AES

  • Con RC4: un attaccante può testare migliaia di password al secondo anche con hardware consumer

  • Con AES: lo stesso attacco richiede risorse enormi e tempi molto più lunghi

Come verificare se sei a rischio

Molte organizzazioni non sanno di essere vulnerabili. RC4 è spesso mantenuto per “compatibilità” o semplicemente perché nessuno ha mai fatto un audit completo a livello di sicurezza su Active Directory.

Controlli immediati

  1. Verifica le Group Policy: nella console Group Policy Management, controlla quali algoritmi Kerberos sono abilitati. Se RC4 è nella lista, sei potenzialmente a rischio.
  2. Analizza i log di autenticazione: usa Event Viewer o sistemi SIEM per identificare autenticazioni con RC4, prestando attenzione a account di servizio e privilegi elevati.
  3. Usa tool specifici: strumenti di terze parti possono scansionare l’infrastruttura e identificare vulnerabilità, incluso l’uso di RC4.
rc4 in kerberos

Migrazione ad AES: strategia e vantaggi

Passare da RC4 ad AES non è solo un aggiornamento tecnico, ma una scelta strategica per difendere la tua rete dagli attacchi più sofisticati.

Benefici concreti della migrazione:

  • Resistenza al Kerberoasting: gli attacchi diventano più difficili e costosi
  • Conformità alle best practice Microsoft e alle normative
  • Migliore visibilità su account e servizi a rischio
  • Riduzione della superficie di attacco

Piano d’azione per mettere in sicurezza la tua Active Directory

Fase 1: Mappatura e Assessment

Identifica tutti gli account, servizi e applicazioni che utilizzano ancora RC4. Crea una mappa completa della tua esposizione.

Fase 2: Migrazione Graduale

Implementa AES128 e AES256 progressivamente, testando la compatibilità con le applicazioni esistenti.

Fase 3: Monitoraggio e Detection

Configura sistemi di threat detection per intercettare tentativi di Kerberoasting e altre tecniche di attacco AD.

Fase 4: Formazione del Team

Assicurati che il tuo team IT comprenda le moderne tecniche di attacco e difesa per Active Directory.

Perché agire subito è fondamentale

Ogni giorno che RC4 rimane attivo è un giorno in più di esposizione a rischi concreti. I cybercriminali conoscono bene queste vulnerabilità e le sfruttano regolarmente.

Non si tratta di “se”, ma di “quando” la tua organizzazione sarà presa di mira. La migrazione da RC4 ad AES rappresenta oggi una delle difese più efficaci.

kerberoasting

Conclusioni

La vulnerabilità di RC4 in Kerberos è solo la punta dell’iceberg nella sicurezza Active Directory. Una strategia completa richiede competenze, strumenti e un approccio metodico.

Se la tua organizzazione utilizza ancora RC4, ogni minuto conta. La migrazione ad AES e l’implementazione di controlli moderni non sono più opzionali: sono necessità per proteggere i tuoi dati e la continuità del business.

Vuoi sapere se la tua infrastruttura è a rischio?

Contattaci per una sessione di assessment gratuita e scopri come proteggere Active Directory dai moderni attacchi. Un audit professionale di Active Directory può rivelare vulnerabilità nascoste e fornirti una roadmap chiara per mettere in sicurezza l’intera infrastruttura.

Promo ×