HackTricks
Authentification Kerberos
Tip
Apprenez et pratiquez le hacking AWS :
HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP :HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
Soutenir HackTricks
- Vérifiez les plans d’abonnement !
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.
Consultez l’excellent article : https://www.tarlogic.com/en/blog/how-kerberos-works/
TL;DR pour les attaquants
- Kerberos est le protocole d’authentification par défaut d’AD ; la plupart des chaînes de mouvement latéral y auront recours. Pour des cheatsheets pratiques (AS‑REP/Kerberoasting, ticket forging, delegation abuse, etc.) voir : 88tcp/udp - Pentesting Kerberos
Notes d’attaque récentes (2024‑2026)
- RC4 disparaît enfin – Les DCs Windows Server 2025 n’émettent plus de TGTs RC4 ; Microsoft prévoit de désactiver RC4 par défaut pour les DC AD d’ici la fin du T2 2026. Les environnements qui ré‑activent RC4 pour des applications legacy créent des opportunités de downgrade/fast‑crack pour Kerberoasting.
- PAC validation enforcement (Apr 2025) – Les mises à jour d’avril 2025 suppriment le mode “Compatibility” ; les PACs falsifiés / golden tickets sont rejetés sur les DCs patchés lorsque l’enforcement est activé. Les DCs legacy/non patchés restent exploitables.
- CVE‑2025‑26647 (altSecID CBA mapping) – Si les DCs ne sont pas patchés ou laissés en mode Audit, les certificats chaînés à des CA non‑NTAuth mais mappés via SKI/altSecID peuvent toujours se connecter. Des événements 45/21 apparaissent lorsque les protections se déclenchent.
- Suppression progressive de NTLM – Microsoft livrera les futures versions de Windows avec NTLM désactivé par défaut (déploiement prévu jusqu’en 2026), poussant davantage d’authentifications vers Kerberos. Attendez‑vous à une surface Kerberos accrue et à des EPA/CBT plus stricts dans les réseaux durcis.
- RBCD inter‑domain reste puissant – Microsoft Learn indique que la resource‑based constrained delegation fonctionne à travers domaines/forests ; l’attribut modifiable
msDS-AllowedToActOnBehalfOfOtherIdentitysur les objets de ressource permet toujours l’usurpation S4U2self→S4U2proxy sans toucher les ACLs des services frontaux.
Outils rapides
- Rubeus kerberoast (AES default):
Rubeus.exe kerberoast /user:svc_sql /aes /nowrap /outfile:tgs.txt— renvoie des hashes AES ; prévoyez du cracking GPU ou ciblez plutôt les comptes avec pre‑auth désactivé. - RC4 downgrade target hunting: énumérez les comptes qui annoncent encore RC4 avec
Get-ADObject -LDAPFilter '(msDS-SupportedEncryptionTypes=4)' -Properties msDS-SupportedEncryptionTypespour localiser des candidats kerberoast faibles avant que RC4 soit complètement désactivé.
References
- Microsoft – Beyond RC4 for Windows authentication (RC4 default removal timeline)
- Microsoft Support – Protections for CVE-2025-26647 Kerberos authentication
- Microsoft Support – PAC validation enforcement timeline
- Microsoft Learn – Kerberos constrained delegation overview (cross-domain RBCD)
- Windows Central – NTLM deprecation roadmap
Tip
Apprenez et pratiquez le hacking AWS :
Apprenez et pratiquez le hacking GCP :Soutenir HackTricks
- Vérifiez les plans d’abonnement !
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.