Silver Ticket
¿Qué es Silver Ticket?
Silver TicketTicket de servicio Kerberos (TGS) falsificado con el hash de una cuenta de servicio concreta, que concede acceso silencioso solo a ese servicio.
Un Silver Ticket es un TGS forjado offline a partir del hash NTLM o AES de una cuenta de servicio concreta, por ejemplo SQL Server, IIS o CIFS. Como lo firma la propia cuenta de servicio y no krbtgt, el atacante no interactua con el KDC y no se generan eventos Kerberos en el controlador de dominio. Asi puede acceder a ese unico servicio como cualquier usuario, incluidos privilegiados, durante la vigencia del ticket. MITRE ATT&CK lo identifica como T1558.002 (Steal or Forge Kerberos Tickets: Silver Ticket). Las mitigaciones incluyen contrasenas fuertes para cuentas de servicio (gMSA), Kerberos solo AES, validacion PAC y monitorizacion de logs de autenticacion del propio servicio.
● Ejemplos
- 01
Forjar un Silver Ticket para el servicio MSSQL de un servidor de base de datos y consultar datos como admin.
- 02
Generar un Silver Ticket CIFS para leer ficheros de un recurso sensible sin contactar con el DC.
● Preguntas frecuentes
¿Qué es Silver Ticket?
Ticket de servicio Kerberos (TGS) falsificado con el hash de una cuenta de servicio concreta, que concede acceso silencioso solo a ese servicio. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Silver Ticket?
Ticket de servicio Kerberos (TGS) falsificado con el hash de una cuenta de servicio concreta, que concede acceso silencioso solo a ese servicio.
¿Cómo funciona Silver Ticket?
Un Silver Ticket es un TGS forjado offline a partir del hash NTLM o AES de una cuenta de servicio concreta, por ejemplo SQL Server, IIS o CIFS. Como lo firma la propia cuenta de servicio y no krbtgt, el atacante no interactua con el KDC y no se generan eventos Kerberos en el controlador de dominio. Asi puede acceder a ese unico servicio como cualquier usuario, incluidos privilegiados, durante la vigencia del ticket. MITRE ATT&CK lo identifica como T1558.002 (Steal or Forge Kerberos Tickets: Silver Ticket). Las mitigaciones incluyen contrasenas fuertes para cuentas de servicio (gMSA), Kerberos solo AES, validacion PAC y monitorizacion de logs de autenticacion del propio servicio.
¿Cómo defenderse de Silver Ticket?
Las defensas contra Silver Ticket combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
● Términos relacionados
- identity-access№ 584
Kerberos
Protocolo de autenticación de red basado en tickets que utiliza criptografía simétrica y un Centro de Distribución de Claves de confianza para ofrecer inicio de sesión único seguro.
- attacks№ 447
Golden Ticket
Ticket TGT de Kerberos falsificado, firmado con el hash de la cuenta krbtgt, que permite al atacante suplantar a cualquier principal del dominio.
- attacks№ 791
Pass-the-Ticket
Ataque sobre Active Directory que reutiliza un ticket Kerberos robado para suplantar a un usuario o servicio sin conocer la contrasena.
- defense-ops№ 682
Mimikatz
Herramienta de post-explotacion para Windows que extrae contrasenas en claro, hashes, tickets Kerberos y otras credenciales desde la memoria y LSASS.
- identity-access№ 013
Active Directory
Servicio de directorio empresarial de Microsoft para redes Windows que ofrece autenticación, autorización y gestión de políticas centralizadas para usuarios, equipos y recursos.
- attacks№ 583
Kerberoasting
Ataque offline de contrasenas que solicita tickets de servicio Kerberos a cuentas de servicio y rompe la parte cifrada para recuperar la contrasena en claro.