Kerberos аутентифікація

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks

• Перевірте плани підписки!
• Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
• Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.

Перегляньте чудову статтю: https://www.tarlogic.com/en/blog/how-kerberos-works/

Коротко для атакувальників

• Kerberos — протокол аутентифікації за замовчуванням в AD; більшість lateral-movement ланцюжків так чи інакше зачеплять його. Для практичних cheatsheets (AS‑REP/Kerberoasting, ticket forging, delegation abuse тощо) див.: 88tcp/udp - Pentesting Kerberos

Оновлені нотатки про атаки (2024‑2026)

• RC4 нарешті зникає – DCs на Windows Server 2025 більше не видають RC4 TGTs; Microsoft планує відключити RC4 за замовчуванням для AD DCs до кінця Q2 2026. Середовища, які повторно вмикають RC4 для legacy додатків, створюють можливості для downgrade/fast‑crack у Kerberoasting.
• Запровадження перевірки PAC (Apr 2025) – оновлення квітня 2025 прибирають режим “Compatibility”; підроблені PACs/golden tickets відхиляються на запатчених DCs, коли увімкнено примусове застосування. Legacy/unpatched DCs залишаються придатними для зловживань.
• CVE‑2025‑26647 (altSecID CBA mapping) – якщо DCs не запатчено або залишено в Audit режимі, сертифікати, пов’язані з non‑NTAuth CAs, але змеплені через SKI/altSecID, все ще можуть виконувати log on. Події 45/21 з’являються, коли захисти спрацьовують.
• Виведення NTLM з обігу – Microsoft випускатиме майбутні версії Windows з NTLM відключеним за замовчуванням (поетапно в 2026), що перемістить більше аутентифікації на Kerberos. Очікуйте ширшої поверхні Kerberos та суворішого EPA/CBT у захищених мережах.
• Cross‑domain RBCD залишається потужним – Microsoft Learn зазначає, що resource‑based constrained delegation працює через домени/forests; записний msDS-AllowedToActOnBehalfOfOtherIdentity, що є writable на ресурсних об’єктах, все ще дозволяє S4U2self→S4U2proxy імперсонування без змін у front‑end service ACLs.

Швидкі інструменти

• Rubeus kerberoast (AES default): Rubeus.exe kerberoast /user:svc_sql /aes /nowrap /outfile:tgs.txt — виводить AES хеші; плануйте GPU cracking або націлюйтесь на користувачів з вимкненим pre‑auth.
• RC4 downgrade target hunting: перераховуйте облікові записи, які все ще рекламують RC4 за допомогою Get-ADObject -LDAPFilter '(msDS-SupportedEncryptionTypes=4)' -Properties msDS-SupportedEncryptionTypes, щоб знайти слабкі кандидати для kerberoast перед повним вимкненням RC4.

Посилання

• Microsoft – Beyond RC4 for Windows authentication (RC4 default removal timeline)
• Microsoft Support – Protections for CVE-2025-26647 Kerberos authentication
• Microsoft Support – PAC validation enforcement timeline
• Microsoft Learn – Kerberos constrained delegation overview (cross-domain RBCD)
• Windows Central – NTLM deprecation roadmap

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks

• Перевірте плани підписки!
• Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
• Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.