HackTricks
Autenticazione Kerberos
Tip
Impara e pratica il hacking AWS:
HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP:HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
Supporta HackTricks
- Controlla i piani di abbonamento!
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
- Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos github.
Consulta l’ottimo post di: https://www.tarlogic.com/en/blog/how-kerberos-works/
TL;DR per gli attaccanti
- Kerberos è il protocollo di autenticazione predefinito di AD; la maggior parte delle catene di lateral movement lo coinvolgerà. Per cheatsheet pratiche (AS‑REP/Kerberoasting, ticket forging, delegation abuse, ecc.) vedi: 88tcp/udp - Pentesting Kerberos
Note sugli attacchi recenti (2024‑2026)
- RC4 finalmente eliminato – I DC di Windows Server 2025 non emettono più TGT RC4; Microsoft prevede di disabilitare RC4 come impostazione predefinita per i DC AD entro la fine del Q2 2026. Gli ambienti che riabilitano RC4 per applicazioni legacy creano opportunità di downgrade/fast‑crack per Kerberoasting.
- PAC validation enforcement (Apr 2025) – Gli aggiornamenti di aprile 2025 rimuovono la modalità “Compatibility”; PAC falsificati/golden ticket vengono rifiutati sui DC patchati quando l’enforcement è abilitato. I DC legacy/non patchati restano sfruttabili.
- CVE‑2025‑26647 (altSecID CBA mapping) – Se i DC non sono patchati o rimangono in modalità Audit, certificati concatenati a CA non‑NTAuth ma mappati tramite SKI/altSecID possono ancora effettuare il logon. Appaiono eventi 45/21 quando le protezioni scattano.
- NTLM phase‑out – Microsoft rilascerà future versioni di Windows con NTLM disabilitato di default (gradualmente entro il 2026), spostando più autenticazione su Kerberos. Aspettati una maggiore superficie di Kerberos e controlli EPA/CBT più stringenti nelle reti fortificate.
- Cross‑domain RBCD remains powerful – Microsoft Learn osserva che resource‑based constrained delegation funziona attraverso domini/foreste; l’attributo scrivibile
msDS-AllowedToActOnBehalfOfOtherIdentitysugli oggetti resource permette ancora l’impersonation S4U2self→S4U2proxy senza modificare gli ACL dei servizi front‑end.
Strumenti rapidi
- Rubeus kerberoast (AES default):
Rubeus.exe kerberoast /user:svc_sql /aes /nowrap /outfile:tgs.txt— restituisce hash AES; pianifica cracking con GPU o prendi di mira utenti con pre‑auth disabilitato. - RC4 downgrade target hunting: enumera gli account che ancora pubblicizzano RC4 con
Get-ADObject -LDAPFilter '(msDS-SupportedEncryptionTypes=4)' -Properties msDS-SupportedEncryptionTypesper localizzare candidati deboli per Kerberoast prima che RC4 venga completamente disabilitato.
Riferimenti
- Microsoft – Beyond RC4 for Windows authentication (RC4 default removal timeline)
- Microsoft Support – Protections for CVE-2025-26647 Kerberos authentication
- Microsoft Support – PAC validation enforcement timeline
- Microsoft Learn – Kerberos constrained delegation overview (cross-domain RBCD)
- Windows Central – NTLM deprecation roadmap
Tip
Impara e pratica il hacking AWS:
Impara e pratica il hacking GCP:Supporta HackTricks
- Controlla i piani di abbonamento!
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
- Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos github.