HackTricks
Autenticação Kerberos
Tip
Aprenda e pratique Hacking AWS:
HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP:HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
Supporte o HackTricks
- Confira os planos de assinatura!
- Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
- Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.
Confira o post incrível de: https://www.tarlogic.com/en/blog/how-kerberos-works/
TL;DR para atacantes
- Kerberos é o protocolo de autenticação padrão do AD; a maioria das cadeias de movimento lateral irá envolvê‑lo. Para cheatsheets práticas (AS‑REP/Kerberoasting, ticket forging, delegation abuse, etc.) veja: 88tcp/udp - Pentesting Kerberos
Notas recentes de ataque (2024‑2026)
- RC4 finalmente desaparecendo – DCs do Windows Server 2025 não emitem mais TGTs RC4; a Microsoft planeja desabilitar RC4 como padrão para DCs do AD até o final do Q2 de 2026. Ambientes que re‑ativam RC4 para apps legados criam oportunidades de downgrade/fast‑crack para Kerberoasting.
- Aplicação da validação PAC (Abr 2025) – atualizações de abril de 2025 removem o modo “Compatibility”; PACs forjados/golden tickets são rejeitados em DCs com patch quando a aplicação está habilitada. DCs legados/não atualizados continuam abusáveis.
- CVE‑2025‑26647 (altSecID CBA mapping) – se DCs não estiverem atualizados ou permanecerem em modo Audit, certificados encadeados a CAs não‑NTAuth mas mapeados via SKI/altSecID ainda podem fazer logon. Eventos 45/21 aparecem quando as proteções disparam.
- Fase‑out do NTLM – a Microsoft entregará futuras releases do Windows com NTLM desabilitado por padrão (estagiado até 2026), empurrando mais autenticação para Kerberos. Espere maior superfície de Kerberos e EPA/CBT mais rígidos em redes endurecidas.
- RBCD cross‑domain continua poderoso – Microsoft Learn observa que resource‑based constrained delegation funciona entre domínios/florestas;
msDS-AllowedToActOnBehalfOfOtherIdentitygravável em objetos de recurso ainda permite impersonation S4U2self→S4U2proxy sem tocar os ACLs do serviço front‑end.
Ferramentas rápidas
- Rubeus kerberoast (AES default):
Rubeus.exe kerberoast /user:svc_sql /aes /nowrap /outfile:tgs.txt— exibe hashes AES; planeje cracking por GPU ou, em alternativa, mire em usuários com pre‑auth desabilitado. - Caça a alvos para downgrade RC4: enumere contas que ainda anunciam RC4 com
Get-ADObject -LDAPFilter '(msDS-SupportedEncryptionTypes=4)' -Properties msDS-SupportedEncryptionTypespara localizar candidatos fracos para kerberoast antes que RC4 seja totalmente desabilitado.
References
- Microsoft – Beyond RC4 for Windows authentication (RC4 default removal timeline)
- Microsoft Support – Protections for CVE-2025-26647 Kerberos authentication
- Microsoft Support – PAC validation enforcement timeline
- Microsoft Learn – Kerberos constrained delegation overview (cross-domain RBCD)
- Windows Central – NTLM deprecation roadmap
Tip
Aprenda e pratique Hacking AWS:
Aprenda e pratique Hacking GCP:Supporte o HackTricks
- Confira os planos de assinatura!
- Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
- Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.