Kerberos Authentication

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Ελέγξτε τα σχέδια συνδρομής!
• Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

Δείτε το εξαιρετικό άρθρο από: https://www.tarlogic.com/en/blog/how-kerberos-works/

TL;DR for attackers

• Kerberos είναι το προεπιλεγμένο πρωτόκολλο αυθεντικοποίησης AD· οι περισσότερες αλυσίδες lateral‑movement θα το αγγίξουν. Για πρακτικά cheatsheets (AS‑REP/Kerberoasting, ticket forging, delegation abuse, κ.λπ.) δείτε: 88tcp/udp - Pentesting Kerberos

Fresh attack notes (2024‑2026)

• RC4 finally going away – Τα DCs των Windows Server 2025 δεν εκδίδουν πλέον RC4 TGTs· η Microsoft σκοπεύει να απενεργοποιήσει το RC4 ως προεπιλογή για AD DCs μέχρι το τέλος του Q2 2026. Περιβάλλοντα που επαναενεργοποιούν RC4 για legacy apps δημιουργούν ευκαιρίες downgrade/fast‑crack για Kerberoasting.
• PAC validation enforcement (Apr 2025) – Οι ενημερώσεις Απριλίου 2025 αφαιρούν το “Compatibility” mode· πλαστά PACs/golden tickets απορρίπτονται σε patched DCs όταν η επιβολή είναι ενεργή. Legacy/μη ενημερωμένα DCs παραμένουν ευάλωτα σε εκμετάλλευση.
• CVE‑2025‑26647 (altSecID CBA mapping) – Εάν τα DCs δεν έχουν ενημερωθεί ή έχουν μείνει σε Audit mode, πιστοποιητικά που chained σε non‑NTAuth CAs αλλά mapped μέσω SKI/altSecID μπορούν ακόμα να κάνουν log on. Εμφανίζονται events 45/21 όταν ενεργοποιούνται οι προστασίες.
• NTLM phase‑out – Η Microsoft θα παραδώσει μελλοντικές εκδόσεις Windows με NTLM απενεργοποιημένο ως προεπιλογή (σταδιακά μέχρι το 2026), ωθώντας περισσότερη αυθεντικοποίηση στο Kerberos. Αναμένεται μεγαλύτερη επιφάνεια Kerberos και αυστηρότερη EPA/CBT σε hardened networks.
• Cross‑domain RBCD remains powerful – Το Microsoft Learn αναφέρει ότι το resource‑based constrained delegation λειτουργεί across domains/forests· το writable msDS-AllowedToActOnBehalfOfOtherIdentity στα resource objects εξακολουθεί να επιτρέπει S4U2self→S4U2proxy impersonation χωρίς να αγγίζει τα front‑end service ACLs.

Quick tooling

• Rubeus kerberoast (AES default): Rubeus.exe kerberoast /user:svc_sql /aes /nowrap /outfile:tgs.txt — outputs AES hashes· προγραμματίστε GPU cracking ή στοχεύστε χρήστες με pre‑auth disabled αντίστοιχα.
• RC4 downgrade target hunting: enumerate accounts that still advertise RC4 with Get-ADObject -LDAPFilter '(msDS-SupportedEncryptionTypes=4)' -Properties msDS-SupportedEncryptionTypes to locate weak kerberoast candidates before RC4 is fully disabled.

References

• Microsoft – Beyond RC4 for Windows authentication (RC4 default removal timeline)
• Microsoft Support – Protections for CVE-2025-26647 Kerberos authentication
• Microsoft Support – PAC validation enforcement timeline
• Microsoft Learn – Kerberos constrained delegation overview (cross-domain RBCD)
• Windows Central – NTLM deprecation roadmap

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Ελέγξτε τα σχέδια συνδρομής!
• Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.