Kerberos-verifikasie

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subskripsie planne!
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

Kyk na die fantastiese artikel by: https://www.tarlogic.com/en/blog/how-kerberos-works/

TL;DR vir aanvallers

• Kerberos is die standaard AD auth-protokol; meeste lateral-movement kettings sal dit raak. Vir praktiese cheatsheets (AS‑REP/Kerberoasting, ticket forging, delegation abuse, etc.) sien: 88tcp/udp - Pentesting Kerberos

Vars aanvalnotas (2024‑2026)

• RC4 uiteindelik verdwyn – Windows Server 2025 DCs gee nie meer RC4 TGTs uit nie; Microsoft beplan om RC4 as standaard vir AD DCs te deaktiveer teen die einde van Q2 2026. Omgewings wat RC4 weeraktiveer vir legacy‑apps skep downgrade/fast‑crack geleenthede vir Kerberoasting.
• PAC validation enforcement (Apr 2025) – April 2025-opdaterings verwyder die “Compatibility” modus; vervalste PACs/golden tickets word geweier op gepatchte DCs wanneer afdwinging ingeskakel is. Legacy/ongepakte DCs bly misbruikbaar.
• CVE‑2025‑26647 (altSecID CBA mapping) – As DCs ongepakte is of in Audit‑modus gelaat word, sertifikate wat gekoppel is aan non‑NTAuth CAs maar via SKI/altSecID gemap is, kan steeds aanmeld. Gebeure 45/21 verskyn wanneer beskerming aktiveer.
• NTLM uitfasering – Microsoft sal toekomstige Windows-uitgawes uitbring met NTLM standaard gedeaktiveer (gefaseer deur 2026), wat meer auth na Kerberos dwing. Verwag meer Kerberos-oppervlakte en strenger EPA/CBT in geharde netwerke.
• Cross‑domain RBCD bly kragtig – Microsoft Learn dui aan dat resource‑based constrained delegation oor domeine/foreste werk; skryfbare msDS-AllowedToActOnBehalfOfOtherIdentity op resource‑objekte laat steeds S4U2self→S4U2proxy impersonation toe sonder om front‑end service ACLs aan te raak.

Vinnige gereedskap

• Rubeus kerberoast (AES default): Rubeus.exe kerberoast /user:svc_sql /aes /nowrap /outfile:tgs.txt — lewer AES hashes; beplan GPU‑cracking of mik eerder gebruikers met pre‑auth gedeaktiveer.
• RC4 downgrade teikenjag: enumereer rekeninge wat steeds RC4 adverteer met Get-ADObject -LDAPFilter '(msDS-SupportedEncryptionTypes=4)' -Properties msDS-SupportedEncryptionTypes om swak kerberoast‑kandidate te vind voordat RC4 heeltemal gedeaktiveer word.

References

• Microsoft – Beyond RC4 for Windows authentication (RC4 default removal timeline)
• Microsoft Support – Protections for CVE-2025-26647 Kerberos authentication
• Microsoft Support – PAC validation enforcement timeline
• Microsoft Learn – Kerberos constrained delegation overview (cross-domain RBCD)
• Windows Central – NTLM deprecation roadmap

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subskripsie planne!
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.