Golden Ticket
Qu'est-ce que Golden Ticket ?
Golden TicketTGT Kerberos forge a l'aide du hash du compte krbtgt, permettant a un attaquant d'usurper n'importe quel principal du domaine.
Un Golden Ticket est un TGT genere hors ligne par un attaquant qui a obtenu le hash du mot de passe du compte krbtgt, generalement via une attaque de replication DCSync ou la compromission d'un controleur de domaine. Comme chaque TGT du domaine est signe par krbtgt, quiconque detient ce hash peut emettre des tickets pour des utilisateurs, groupes et durees de validite arbitraires, assurant une domination persistante du domaine. MITRE ATT&CK suit la technique sous T1558.001 (Steal or Forge Kerberos Tickets: Golden Ticket).
La forge fonctionne parce qu'un controleur de domaine ne verifie pas un TGT qu'il a emis par rapport a un etat cote serveur : il fait confiance a tout TGT dechiffrable avec la cle krbtgt et lit le PAC embarque (Privilege Attribute Certificate) pour determiner l'appartenance aux groupes. Un attaquant peut donc injecter des SID arbitraires, comme le groupe Enterprise Admins (RID 519), directement dans le PAC. Le correctif MS14-068 de Microsoft (CVE-2014-6324) a renforce la validation de signature du PAC contre une forge voisine ou un utilisateur peu privilegie falsifiait un PAC sans le hash krbtgt ; un veritable Golden Ticket fonctionne toujours apres le correctif car il est signe avec la vraie cle krbtgt.
Comme krbtgt est un compte de service dont le mot de passe ne change presque jamais, un seul ticket peut rester valide des annees et survit a la reinitialisation complete des identifiants de tous les autres utilisateurs, une astuce de persistance favorite des epoques NotPetya et APT. La seule eviction fiable est la rotation du mot de passe krbtgt deux fois de suite (le compte conserve la cle actuelle et la precedente), ce qui invalide tous les tickets en cours.
flowchart TD A[Compromettre le controleur de domaine] --> B[Extraire le hash krbtgt<br/>via DCSync ou dump LSASS] B --> C[Forger le TGT hors ligne<br/>mimikatz kerberos::golden] C --> D[Injecter des SID privilegies dans le PAC<br/>ex. Domain / Enterprise Admins] D --> E[Pass-the-Ticket dans une session de logon] E --> F[Demander des tickets de service pour toute ressource] F --> G[Domination persistante du domaine] H[Rotation krbtgt x2 + audit DCSync] -.defend.-> B
Les mitigations incluent la double rotation du mot de passe krbtgt apres tout compromis de DC, la restriction et l'audit des droits DCSync (replication d'annuaire), le deploiement d'une administration tier-0 et la chasse aux tickets anormaux : durees de vie absurdement longues, comptes sans AS-REQ prealable, ou requetes d'evenement 4769 pour des utilisateurs n'ayant jamais effectue d'ouverture de session interactive.
● Exemples
- 01
Commande kerberos::golden de Mimikatz creant un TGT de 10 ans pour un utilisateur fictif marque Domain Admin.
- 02
Persistance post-compromis permettant de revenir dans le domaine meme apres reinitialisation des mots de passe.
● Questions fréquentes
Qu'est-ce que Golden Ticket ?
TGT Kerberos forge a l'aide du hash du compte krbtgt, permettant a un attaquant d'usurper n'importe quel principal du domaine. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Golden Ticket ?
TGT Kerberos forge a l'aide du hash du compte krbtgt, permettant a un attaquant d'usurper n'importe quel principal du domaine.
Comment se défendre contre Golden Ticket ?
Les défenses contre Golden Ticket combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.