Silver Ticket
¿Qué es Silver Ticket?
Silver TicketTicket de servicio Kerberos (TGS) falsificado con el hash de una cuenta de servicio concreta, que concede acceso silencioso solo a ese servicio.
Un Silver Ticket es un TGS forjado offline a partir del hash NTLM o AES de una cuenta de servicio concreta, por ejemplo SQL Server, IIS o CIFS. Como lo firma la propia cuenta de servicio y no krbtgt, el atacante no interactua con el KDC y no se generan eventos Kerberos en el controlador de dominio. Asi puede acceder a ese unico servicio como cualquier usuario, incluidos privilegiados, durante la vigencia del ticket. MITRE ATT&CK lo identifica como T1558.002 (Steal or Forge Kerberos Tickets: Silver Ticket). Las mitigaciones incluyen contrasenas fuertes para cuentas de servicio (gMSA), Kerberos solo AES, validacion PAC y monitorizacion de logs de autenticacion del propio servicio.
● Ejemplos
- 01
Forjar un Silver Ticket para el servicio MSSQL de un servidor de base de datos y consultar datos como admin.
- 02
Generar un Silver Ticket CIFS para leer ficheros de un recurso sensible sin contactar con el DC.
● Preguntas frecuentes
¿Qué es Silver Ticket?
Ticket de servicio Kerberos (TGS) falsificado con el hash de una cuenta de servicio concreta, que concede acceso silencioso solo a ese servicio. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Silver Ticket?
Ticket de servicio Kerberos (TGS) falsificado con el hash de una cuenta de servicio concreta, que concede acceso silencioso solo a ese servicio.
¿Cómo defenderse de Silver Ticket?
Las defensas contra Silver Ticket combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.