Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 500

Golden Ticket

Geprüft vonCybersecurity entrepreneur & security researcher

Was ist Golden Ticket?

Golden TicketGefaelschtes Kerberos-TGT, das mit dem Hash des krbtgt-Kontos signiert wurde und es Angreifern erlaubt, beliebige Prinzipale einer Domain zu impersonieren.


Ein Golden Ticket ist ein offline erzeugtes TGT, das ein Angreifer baut, nachdem er den Passworthash des krbtgt-Kontos erlangt hat, typischerweise ueber einen DCSync-Replikationsangriff oder die Kompromittierung eines Domain Controllers. Da jedes Kerberos-TGT einer Domain mit krbtgt signiert ist, kann jeder, der diesen Hash besitzt, Tickets fuer beliebige Benutzer, Gruppen und Gueltigkeitsdauern ausstellen und so die Domain dauerhaft dominieren. MITRE ATT&CK fuehrt die Technik als T1558.001 (Steal or Forge Kerberos Tickets: Golden Ticket).

Die Faelschung funktioniert, weil ein Domain Controller ein von ihm ausgestelltes TGT nicht gegen serverseitigen Zustand prueft: Er vertraut darauf, dass ein mit dem krbtgt-Schluessel entschluesselbares TGT echt ist, und liest das eingebettete PAC (Privilege Attribute Certificate), um die Gruppenmitgliedschaft zu bestimmen. Ein Angreifer kann deshalb beliebige SIDs direkt ins PAC einfuegen, etwa die Gruppe Enterprise Admins (RID 519). Microsofts Patch MS14-068 (CVE-2014-6324) haertete die PAC-Signaturpruefung gegen eine verwandte Faelschung, bei der ein niedrig privilegierter Benutzer ein PAC ohne den krbtgt-Hash faelschte; ein echtes Golden Ticket funktioniert auch nach dem Patch, weil es mit dem realen krbtgt-Schluessel signiert ist.

Da krbtgt ein Dienstkonto ist, dessen Passwort sich fast nie aendert, kann ein einzelnes Ticket jahrelang gueltig bleiben und ueberlebt vollstaendige Credential-Resets aller anderen Benutzer, ein beliebter Persistenztrick der NotPetya- und APT-Aera. Die einzige zuverlaessige Bereinigung ist die zweimal aufeinanderfolgende Rotation des krbtgt-Passworts (das Konto behaelt aktuellen und vorherigen Schluessel), wodurch alle ausstehenden Tickets ungueltig werden.

flowchart TD
  A[Domain Controller kompromittieren] --> B[krbtgt-Hash extrahieren<br/>via DCSync oder LSASS-Dump]
  B --> C[TGT offline faelschen<br/>mimikatz kerberos::golden]
  C --> D[Privilegierte SIDs ins PAC einfuegen<br/>z. B. Domain / Enterprise Admins]
  D --> E[Pass-the-Ticket in eine Anmeldesitzung]
  E --> F[Service-Tickets fuer beliebige Ressourcen anfordern]
  F --> G[Dauerhafte Domain-Dominanz]
  H[krbtgt zweimal rotieren + DCSync auditieren] -.verteidigt.-> B

Gegenmassnahmen sind die doppelte Rotation des krbtgt-Passworts nach jeder DC-Kompromittierung, das Einschraenken und Auditieren von DCSync-Rechten (Verzeichnisreplikation), Tier-0-Administration und das Aufspueren auffaelliger Tickets, etwa absurd langer Laufzeiten, Konten ohne vorangehende AS-REQ oder Event-4769-Anfragen fuer Benutzer, die nie interaktiv angemeldet waren.

Beispiele

  1. 01

    Mimikatz-Kommando kerberos::golden erzeugt ein 10-Jahre-TGT fuer einen fiktiven Benutzer als Domain Admin.

  2. 02

    Persistenz nach Kompromittierung, mit der die Domain trotz Passwortreset wieder betreten werden kann.

Häufige Fragen

Was ist Golden Ticket?

Gefaelschtes Kerberos-TGT, das mit dem Hash des krbtgt-Kontos signiert wurde und es Angreifern erlaubt, beliebige Prinzipale einer Domain zu impersonieren. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.

Was bedeutet Golden Ticket?

Gefaelschtes Kerberos-TGT, das mit dem Hash des krbtgt-Kontos signiert wurde und es Angreifern erlaubt, beliebige Prinzipale einer Domain zu impersonieren.

Wie schützt man sich gegen Golden Ticket?

Schutzmaßnahmen gegen Golden Ticket kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.

Verwandte Begriffe

Siehe auch