Kerberos Πιστοποίηση

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Ελέγξτε τα σχέδια συνδρομής!
• Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

Δείτε το εξαιρετικό άρθρο από: https://www.tarlogic.com/en/blog/how-kerberos-works/

TL;DR για επιτιθέμενους

• Ο Kerberos είναι το προεπιλεγμένο πρωτόκολλο πιστοποίησης του AD· οι περισσότερες αλυσίδες lateral-movement θα το αγγίξουν. Για πρακτικά cheatsheets (AS‑REP/Kerberoasting, ticket forging, delegation abuse, κ.λπ.) δείτε: 88tcp/udp - Pentesting Kerberos

Νεότερες σημειώσεις επιθέσεων (2024‑2026)

• RC4 τελικά αποσύρεται – Οι DCs των Windows Server 2025 δεν εκδίδουν πλέον RC4 TGTs· η Microsoft σχεδιάζει να απενεργοποιήσει το RC4 ως προεπιλογή για τους AD DCs έως το τέλος του Q2 2026. Περιβάλλοντα που επανενεργοποιούν το RC4 για legacy apps δημιουργούν ευκαιρίες downgrade/fast‑crack για Kerberoasting.
• PAC validation enforcement (Apr 2025) – Οι ενημερώσεις Απριλίου 2025 αφαιρούν τη λειτουργία “Compatibility”· forged PACs/golden tickets απορρίπτονται σε patched DCs όταν η επιβολή είναι ενεργοποιημένη. Legacy/unpatched DCs παραμένουν abusable.
• CVE‑2025‑26647 (altSecID CBA mapping) – Εάν οι DCs είναι unpatched ή παραμείνουν σε Audit mode, πιστοποιητικά αλυσιδωμένα σε non‑NTAuth CAs αλλά χαρτογραφημένα μέσω SKI/altSecID μπορούν ακόμη να κάνουν log on. Εμφανίζονται Events 45/21 όταν ενεργοποιούνται οι προστασίες.
• NTLM phase‑out – Η Microsoft θα κυκλοφορήσει μελλοντικές εκδόσεις των Windows με NTLM απενεργοποιημένο από προεπιλογή (σταδιακά έως το 2026), ωθώντας περισσότερη πιστοποίηση προς το Kerberos. Αναμένετε μεγαλύτερη επιφάνεια Kerberos και πιο αυστηρό EPA/CBT σε σκληρυμένα δίκτυα.
• Cross‑domain RBCD παραμένει ισχυρό – Το Microsoft Learn σημειώνει ότι το resource‑based constrained delegation λειτουργεί across domains/forests· writable msDS-AllowedToActOnBehalfOfOtherIdentity σε resource objects εξακολουθεί να επιτρέπει S4U2self→S4U2proxy impersonation χωρίς να αγγίζονται front‑end service ACLs.

Γρήγορα εργαλεία

• Rubeus kerberoast (AES default): Rubeus.exe kerberoast /user:svc_sql /aes /nowrap /outfile:tgs.txt — εξάγει AES hashes· προγραμματίστε GPU cracking ή στοχεύστε χρήστες με pre‑auth απενεργοποιημένο αντ’ αυτού.
• RC4 downgrade target hunting: απαριθμήστε accounts που ακόμη διαφημίζουν RC4 με Get-ADObject -LDAPFilter '(msDS-SupportedEncryptionTypes=4)' -Properties msDS-SupportedEncryptionTypes για να εντοπίσετε αδύναμους kerberoast υποψήφιους πριν το RC4 απενεργοποιηθεί πλήρως.

References

• Microsoft – Beyond RC4 for Windows authentication (RC4 default removal timeline)
• Microsoft Support – Protections for CVE-2025-26647 Kerberos authentication
• Microsoft Support – PAC validation enforcement timeline
• Microsoft Learn – Kerberos constrained delegation overview (cross-domain RBCD)
• Windows Central – NTLM deprecation roadmap

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Ελέγξτε τα σχέδια συνδρομής!
• Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.