Kerberos-verifikasie

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subskripsie planne!
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

Kyk na die wonderlike artikel by: https://www.tarlogic.com/en/blog/how-kerberos-works/

TL;DR vir aanvallers

• Kerberos is die standaard AD auth-protokol; die meeste lateral-movement kettings sal dit raak. Vir praktiese cheatsheets (AS‑REP/Kerberoasting, ticket forging, delegation abuse, etc.) sien: 88tcp/udp - Pentesting Kerberos

Vars aanval-notas (2024‑2026)

• RC4 gaan uiteindelik verdwyn – Windows Server 2025 DCs gee nie meer RC4 TGTs uit nie; Microsoft beplan om RC4 as standaard vir AD DCs teen einde Q2 2026 uit te skakel. Omgewings wat RC4 weer aktiveer vir legacy apps skep downgrade/fast‑crack geleenthede vir Kerberoasting.
• PAC validation enforcement (Apr 2025) – April 2025-opdaterings verwyder “Compatibility” modus; vervalste PACs/golden tickets word op gepatchte DCs verwerp wanneer afdwinging geaktiveer is. Legacy/unpatched DCs bly steeds misbruikbaar.
• CVE‑2025‑26647 (altSecID CBA mapping) – As DCs nie gepatch is of in Audit-modus gelaat word nie, kan sertifikate wat aan nie‑NTAuth CA’s geklink is maar via SKI/altSecID gemap is steeds aanmeld. Events 45/21 verskyn wanneer beskermings geaktiveer word.
• NTLM phase‑out – Microsoft sal toekomstige Windows-uitgawes uitstuur met NTLM standaard gedeaktiveer (gefaseer deur 2026), wat meer auth na Kerberos dwing. Verwag groter Kerberos-oppervlak en strenger EPA/CBT in geharde netwerke.
• Cross‑domain RBCD bly kragtig – Microsoft Learn dui aan dat resource‑based constrained delegation oor domeine/foreste werk; writable msDS-AllowedToActOnBehalfOfOtherIdentity op resource-objekte laat steeds S4U2self→S4U2proxy-impersonasie toe sonder om front‑end service ACLs aan te raak.

Vinnige gereedskap

• Rubeus kerberoast (AES default): Rubeus.exe kerberoast /user:svc_sql /aes /nowrap /outfile:tgs.txt — lewer AES hashes; beplan GPU-cracking of mik eerder op gebruikers met pre‑auth gedeaktiveer.
• RC4 downgrade target hunting: enumereer rekeninge wat steeds RC4 adverteer met Get-ADObject -LDAPFilter '(msDS-SupportedEncryptionTypes=4)' -Properties msDS-SupportedEncryptionTypes om swak kerberoast-kandidate te lokaliseer voordat RC4 volledig gedeaktiveer is.

Verwysings

• Microsoft – Beyond RC4 for Windows authentication (RC4 default removal timeline)
• Microsoft Support – Protections for CVE-2025-26647 Kerberos authentication
• Microsoft Support – PAC validation enforcement timeline
• Microsoft Learn – Kerberos constrained delegation overview (cross-domain RBCD)
• Windows Central – NTLM deprecation roadmap

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subskripsie planne!
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.