HackTricks
Autenticazione Kerberos
Tip
Impara e pratica il hacking AWS:
HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP:HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
Supporta HackTricks
- Controlla i piani di abbonamento!
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
- Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos github.
Consulta l’ottimo post di: https://www.tarlogic.com/en/blog/how-kerberos-works/
TL;DR for attackers
- Kerberos è il protocollo di auth predefinito per AD; la maggior parte delle catene di lateral-movement lo coinvolgerà. Per cheatsheet pratici (AS‑REP/Kerberoasting, ticket forging, delegation abuse, etc.) vedi: 88tcp/udp - Pentesting Kerberos
Fresh attack notes (2024‑2026)
- RC4 finalmente eliminato – I DC di Windows Server 2025 non emettono più RC4 TGTs; Microsoft prevede di disabilitare RC4 come impostazione predefinita per i DC AD entro la fine del Q2 2026. Gli ambienti che riabilitano RC4 per app legacy creano opportunità di downgrade/fast‑crack per Kerberoasting.
- PAC validation enforcement (Apr 2025) – Gli aggiornamenti di April 2025 rimuovono la modalità “Compatibility”; PACs forgiate/golden tickets vengono rifiutati sui DC patchati quando l’enforcement è abilitato. I DC legacy/non patchati restano sfruttabili.
- CVE‑2025‑26647 (altSecID CBA mapping) – Se i DC non sono patchati o lasciati in Audit mode, i certificati concatenati a CA non‑NTAuth ma mappati via SKI/altSecID possono comunque effettuare il logon. Gli eventi 45/21 compaiono quando le protezioni si attivano.
- NTLM phase‑out – Microsoft rilascerà future versioni di Windows con NTLM disabilitato di default (fasi progressive fino al 2026), spostando più autenticazione su Kerberos. Aspettati una maggiore superficie Kerberos e EPA/CBT più restrittivi nelle reti rafforzate.
- Cross‑domain RBCD remains powerful – Microsoft Learn segnala che il resource‑based constrained delegation funziona attraverso domini/foreste; un attributo scrivibile
msDS-AllowedToActOnBehalfOfOtherIdentitysugli oggetti risorsa permette ancora impersonazione S4U2self→S4U2proxy senza dover modificare gli ACL dei servizi front‑end.
Strumenti rapidi
- Rubeus kerberoast (AES default):
Rubeus.exe kerberoast /user:svc_sql /aes /nowrap /outfile:tgs.txt— estrae hash AES; prevedi cracking GPU o prendi di mira utenti con pre‑auth disabilitato invece. - RC4 downgrade target hunting: enumera gli account che dichiarano ancora RC4 con
Get-ADObject -LDAPFilter '(msDS-SupportedEncryptionTypes=4)' -Properties msDS-SupportedEncryptionTypesper individuare candidati deboli per Kerberoasting prima che RC4 venga completamente disabilitato.
References
- Microsoft – Beyond RC4 for Windows authentication (RC4 default removal timeline)
- Microsoft Support – Protections for CVE-2025-26647 Kerberos authentication
- Microsoft Support – PAC validation enforcement timeline
- Microsoft Learn – Kerberos constrained delegation overview (cross-domain RBCD)
- Windows Central – NTLM deprecation roadmap
Tip
Impara e pratica il hacking AWS:
Impara e pratica il hacking GCP:Supporta HackTricks
- Controlla i piani di abbonamento!
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
- Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos github.