HackTricks
Authentification Kerberos
Tip
Apprenez et pratiquez le hacking AWS :
HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP :HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
Soutenir HackTricks
- Vérifiez les plans d’abonnement !
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.
Consultez l’excellent article : https://www.tarlogic.com/en/blog/how-kerberos-works/
TL;DR pour les attaquants
- Kerberos est le protocole d’auth AD par défaut ; la plupart des chaînes de lateral-movement y feront appel. Pour des fiches pratiques (AS‑REP/Kerberoasting, ticket forging, delegation abuse, etc.) voir : 88tcp/udp - Pentesting Kerberos
Notes d’attaque récentes (2024‑2026)
- RC4 finally going away – Les DCs Windows Server 2025 ne délivrent plus de TGTs RC4 ; Microsoft prévoit de désactiver RC4 par défaut pour les AD DCs d’ici la fin du Q2 2026. Les environnements qui ré‑activent RC4 pour des apps legacy créent des opportunités de downgrade/fast‑crack pour Kerberoasting.
- PAC validation enforcement (Apr 2025) – Les mises à jour d’avril 2025 suppriment le mode “Compatibility” ; les PACs forgés/golden tickets sont rejetés par les DCs patchés quand l’enforcement est activé. Les DCs legacy/unpatched restent exploitables.
- CVE‑2025‑26647 (altSecID CBA mapping) – Si les DCs ne sont pas patchés ou laissés en mode Audit, les certificates chaînés à des non‑NTAuth CAs mais mappés via SKI/altSecID peuvent toujours se connecter. Les événements 45/21 apparaissent lorsque les protections se déclenchent.
- NTLM phase‑out – Microsoft livrera les futures releases de Windows avec NTLM désactivé par défaut (déploiement progressif jusqu’en 2026), poussant davantage d’auth vers Kerberos. Attendez-vous à une surface Kerberos accrue et à des EPA/CBT plus stricts dans les réseaux durcis.
- Cross‑domain RBCD remains powerful – Microsoft Learn note que la resource‑based constrained delegation fonctionne à travers domaines/forests ; l’attribut inscriptible
msDS-AllowedToActOnBehalfOfOtherIdentitysur les resource objects permet toujours l’impersonation S4U2self→S4U2proxy sans toucher aux ACLs des services front‑end.
Quick tooling
- Rubeus kerberoast (AES default):
Rubeus.exe kerberoast /user:svc_sql /aes /nowrap /outfile:tgs.txt— génère des hashes AES ; prévoyez un cracking GPU ou ciblez plutôt des utilisateurs dont la pre‑auth est désactivée. - RC4 downgrade target hunting: énumérez les comptes qui annoncent encore RC4 avec
Get-ADObject -LDAPFilter '(msDS-SupportedEncryptionTypes=4)' -Properties msDS-SupportedEncryptionTypespour localiser des candidats kerberoast faibles avant que RC4 soit complètement désactivé.
References
- Microsoft – Beyond RC4 for Windows authentication (RC4 default removal timeline)
- Microsoft Support – Protections for CVE-2025-26647 Kerberos authentication
- Microsoft Support – PAC validation enforcement timeline
- Microsoft Learn – Kerberos constrained delegation overview (cross-domain RBCD)
- Windows Central – NTLM deprecation roadmap
Tip
Apprenez et pratiquez le hacking AWS :
Apprenez et pratiquez le hacking GCP :Soutenir HackTricks
- Vérifiez les plans d’abonnement !
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.