HackTricks
Kerberos-Authentifizierung
Tip
Lernen & üben Sie AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
Unterstützen Sie HackTricks
- Überprüfen Sie die Abonnementpläne!
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.
Siehe den großartigen Beitrag von: https://www.tarlogic.com/en/blog/how-kerberos-works/
TL;DR für Angreifer
- Kerberos ist das Standard‑AD-Authentifizierungsprotokoll; die meisten Lateral‑Movement‑Ketten werden damit in Berührung kommen. Für praktische Cheatsheets (AS‑REP/Kerberoasting, ticket forging, delegation abuse, etc.) siehe: 88tcp/udp - Pentesting Kerberos
Aktuelle Angriffsnotizen (2024‑2026)
- RC4 wird endlich entfernt – Windows Server 2025 DCs geben keine RC4 TGTs mehr aus; Microsoft plant, RC4 bis Ende Q2 2026 standardmäßig für AD DCs zu deaktivieren. Umgebungen, die RC4 für Legacy‑Apps wieder aktivieren, schaffen Downgrade/fast‑crack‑Chancen für Kerberoasting.
- PAC validation enforcement (Apr 2025) – Die Updates im April 2025 entfernen den „Compatibility“‑Modus; gefälschte PACs/golden tickets werden auf gepatchten DCs abgewiesen, wenn die Durchsetzung aktiviert ist. Legacy/ungepatchte DCs bleiben ausnutzbar.
- CVE‑2025‑26647 (altSecID CBA mapping) – Wenn DCs ungepatcht sind oder im Audit‑Modus belassen werden, können Zertifikate, die an non‑NTAuth CAs angekettet sind, aber via SKI/altSecID gemappt werden, sich weiterhin anmelden. Events 45/21 erscheinen, wenn Schutzmechanismen ausgelöst werden.
- NTLM‑Ausphasung – Microsoft wird zukünftige Windows‑Releases mit standardmäßig deaktiviertem NTLM ausliefern (gestaffelt bis 2026) und damit mehr Auth auf Kerberos verlagern. Erwartet mehr Angriffsfläche im Kerberos‑Bereich und strengere EPA/CBT in gehärteten Netzwerken.
- Cross‑domain RBCD bleibt mächtig – Microsoft Learn weist darauf hin, dass resource‑based constrained delegation domänen‑/forestübergreifend funktioniert; beschreibbare
msDS-AllowedToActOnBehalfOfOtherIdentity‑Attribute auf Ressourcenobjekten erlauben weiterhin S4U2self→S4U2proxy‑Impersonation, ohne die Front‑End‑Service‑ACLs zu ändern.
Schnelle Tools
- Rubeus kerberoast (AES default):
Rubeus.exe kerberoast /user:svc_sql /aes /nowrap /outfile:tgs.txt— gibt AES‑Hashes aus; für GPU‑Cracking planen oder stattdessen auf Benutzer mit deaktivierter Pre‑Auth abzielen. - RC4‑Downgrade‑Zielsuche: Konten auflisten, die noch RC4 ausweisen, mit
Get-ADObject -LDAPFilter '(msDS-SupportedEncryptionTypes=4)' -Properties msDS-SupportedEncryptionTypes, um schwache kerberoast‑Kandidaten zu finden, bevor RC4 vollständig deaktiviert ist.
References
- Microsoft – Beyond RC4 for Windows authentication (RC4 default removal timeline)
- Microsoft Support – Protections for CVE-2025-26647 Kerberos authentication
- Microsoft Support – PAC validation enforcement timeline
- Microsoft Learn – Kerberos constrained delegation overview (cross-domain RBCD)
- Windows Central – NTLM deprecation roadmap
Tip
Lernen & üben Sie AWS Hacking:
Lernen & üben Sie GCP Hacking:Unterstützen Sie HackTricks
- Überprüfen Sie die Abonnementpläne!
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.