HackTricks
Autenticación Kerberos
Tip
Aprende y practica Hacking en AWS:
HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP:HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
Apoya a HackTricks
- Revisa los planes de suscripción!
- Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
- Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.
Consulta el excelente post en: https://www.tarlogic.com/en/blog/how-kerberos-works/
TL;DR para atacantes
- Kerberos es el protocolo de auth predeterminado de AD; la mayoría de las cadenas de movimiento lateral lo tocarán. Para cheatsheets prácticos (AS‑REP/Kerberoasting, ticket forging, delegation abuse, etc.) ver: 88tcp/udp - Pentesting Kerberos
Notas de ataques recientes (2024‑2026)
- RC4 finalmente desaparece – Los DCs de Windows Server 2025 ya no emiten TGTs RC4; Microsoft planea deshabilitar RC4 como predeterminado para DCs de AD a finales del Q2 de 2026. Los entornos que re‑habiliten RC4 para apps legacy crean oportunidades de downgrade/crack rápido para Kerberoasting.
- Aplicación de validación PAC (abr 2025) – Las actualizaciones de abril de 2025 eliminan el modo “Compatibility”; PACs forjados/golden tickets son rechazados en DCs parcheados cuando la aplicación está habilitada. Los DCs legacy/no parcheados siguen siendo abusables.
- CVE‑2025‑26647 (altSecID CBA mapping) – Si los DCs no están parcheados o se dejan en modo Audit, certificados encadenados a CAs no‑NTAuth pero mapeados vía SKI/altSecID aún pueden iniciar sesión. Aparecen eventos 45/21 cuando las protecciones se activan.
- Eliminación progresiva de NTLM – Microsoft enviará futuras versiones de Windows con NTLM deshabilitado por defecto (implementado durante 2026), empujando más autenticación hacia Kerberos. Espera más superficie de Kerberos y EPA/CBT más estrictos en redes endurecidas.
- RBCD entre dominios sigue siendo potente – Microsoft Learn indica que resource‑based constrained delegation funciona entre dominios/forests; un
msDS-AllowedToActOnBehalfOfOtherIdentityescribible en objetos de recurso aún permite la suplantación S4U2self→S4U2proxy sin tocar los ACLs de servicios front‑end.
Herramientas rápidas
- Rubeus kerberoast (AES default):
Rubeus.exe kerberoast /user:svc_sql /aes /nowrap /outfile:tgs.txt— outputs AES hashes; planifica el cracking por GPU o apunta en su lugar a usuarios con pre‑auth deshabilitado. - RC4 downgrade target hunting: enumera cuentas que aún anuncian RC4 con
Get-ADObject -LDAPFilter '(msDS-SupportedEncryptionTypes=4)' -Properties msDS-SupportedEncryptionTypespara localizar candidatos débiles para kerberoast antes de que RC4 se deshabilite por completo.
Referencias
- Microsoft – Beyond RC4 for Windows authentication (RC4 default removal timeline)
- Microsoft Support – Protections for CVE-2025-26647 Kerberos authentication
- Microsoft Support – PAC validation enforcement timeline
- Microsoft Learn – Kerberos constrained delegation overview (cross-domain RBCD)
- Windows Central – NTLM deprecation roadmap
Tip
Aprende y practica Hacking en AWS:
Aprende y practica Hacking en GCP:Apoya a HackTricks
- Revisa los planes de suscripción!
- Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
- Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.