Autenticación Kerberos

Tip

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprende y practica Hacking en Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

• Revisa los planes de suscripción!
• Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
• Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

Check the amazing post from: https://www.tarlogic.com/en/blog/how-kerberos-works/

TL;DR para atacantes

• Kerberos es el protocolo de autenticación predeterminado en AD; la mayoría de las cadenas de movimiento lateral lo tocarán. For hands‑on cheatsheets (AS‑REP/Kerberoasting, ticket forging, delegation abuse, etc.) see: 88tcp/udp - Pentesting Kerberos

Notas de ataques recientes (2024‑2026)

• RC4 finalmente desaparece – Windows Server 2025 DCs no longer issue RC4 TGTs; Microsoft plans to disable RC4 as default for AD DCs by end of Q2 2026. Los entornos que vuelvan a habilitar RC4 para aplicaciones heredadas crean oportunidades de downgrade/fast‑crack para Kerberoasting.
• Aplicación de validación PAC (abr 2025) – April 2025 updates remove “Compatibility” mode; forged PACs/golden tickets get rejected on patched DCs when enforcement is enabled. Los DCs legacy/no parcheados siguen siendo abusables.
• CVE‑2025‑26647 (mapeo altSecID CBA) – If DCs are unpatched or left in Audit mode, certificates chained to non‑NTAuth CAs but mapped via SKI/altSecID can still log on. Aparecen eventos 45/21 cuando se activan las protecciones.
• Retirada de NTLM – Microsoft will ship future Windows releases with NTLM disabled by default (staged through 2026), pushing more auth to Kerberos. Espere más superficie de Kerberos y EPA/CBT más estrictos en redes endurecidas.
• RBCD cross‑domain sigue siendo poderoso – Microsoft Learn notes that resource‑based constrained delegation works across domains/forests; writable msDS-AllowedToActOnBehalfOfOtherIdentity on resource objects still allows S4U2self→S4U2proxy impersonation without touching front‑end service ACLs.

Herramientas rápidas

• Rubeus kerberoast (AES default): Rubeus.exe kerberoast /user:svc_sql /aes /nowrap /outfile:tgs.txt — genera hashes AES; planea cracking con GPU o apunta en su lugar a usuarios con pre‑auth deshabilitado.
• RC4 downgrade target hunting: enumerate accounts that still advertise RC4 with Get-ADObject -LDAPFilter '(msDS-SupportedEncryptionTypes=4)' -Properties msDS-SupportedEncryptionTypes to locate weak kerberoast candidates before RC4 is fully disabled.

References

• Microsoft – Beyond RC4 for Windows authentication (RC4 default removal timeline)
• Microsoft Support – Protections for CVE-2025-26647 Kerberos authentication
• Microsoft Support – PAC validation enforcement timeline
• Microsoft Learn – Kerberos constrained delegation overview (cross-domain RBCD)
• Windows Central – NTLM deprecation roadmap

Tip

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprende y practica Hacking en Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

• Revisa los planes de suscripción!
• Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
• Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.