Kerberoasting
Qu'est-ce que Kerberoasting ?
KerberoastingAttaque de mot de passe hors ligne qui demande des tickets de service Kerberos pour des comptes de service et casse la portion chiffrée afin de retrouver leur mot de passe en clair.
Le Kerberoasting, décrit pour la première fois par Tim Medin à la DerbyCon 2014, exploite une propriété fondamentale de Kerberos : tout utilisateur authentifié du domaine peut demander un ticket de service (TGS-REP) pour n'importe quel Service Principal Name (SPN), et une partie de ce ticket est chiffrée avec le hash NTLM du mot de passe du compte de service. L'attaquant ne touche jamais au service cible — il énumère les SPN (via LDAP, setspn, Rubeus ou GetUserSPNs d'Impacket), demande les tickets, exporte les blobs chiffrés et les casse hors ligne avec Hashcat (mode 13100) ou John the Ripper. Aucun privilège élevé ni verrouillage de compte n'est en jeu, si bien que les comptes de service aux mots de passe faibles et jamais renouvelés tombent souvent en quelques heures.
Le risque est maximal avec les tickets RC4-HMAC hérités (etype 23), qui se cassent bien plus vite que l'AES ; les attaquants forcent fréquemment le rétrogradage des requêtes vers RC4 à dessein. MITRE ATT&CK suit cette technique sous T1558.003. Elle est prisée des affiliés de ransomware et a été au cœur de compromissions d'Active Directory largement médiatisées, car les comptes de service sont souvent surprivilégiés. Défenses : utiliser des mots de passe aléatoires de 25+ caractères ou des group Managed Service Accounts (gMSA/dMSA) à rotation automatique, imposer les types de chiffrement AES, retirer les SPN inutiles des comptes privilégiés, déployer des SPN honeypot et alerter sur l'Event ID 4769 révélant des demandes massives de tickets RC4.
flowchart TD A[Utilisateur de domaine peu privilégié] -->|"1. Énumérer les SPN via LDAP"| B[Active Directory] A -->|"2. Demander un TGS pour le SPN (forcer RC4)"| C[KDC / Contrôleur de domaine] C -->|"3. TGS-REP chiffré avec<br/>le hash du compte de service"| A A -->|"4. Exporter le ticket"| D[Cassage hors ligne<br/>Hashcat mode 13100] D -->|"5. Mot de passe faible retrouvé"| E[Compromission du compte de service<br/>→ mouvement latéral / DA]
● Exemples
- 01
Exécuter Rubeus kerberoast depuis un compte peu privilégié pour collecter des tickets TGS, puis les casser avec Hashcat.
- 02
Découvrir qu'un Domain Admin possède un SPN avec un mot de passe faible, puis escalader jusqu'à la compromission du domaine.
● Questions fréquentes
Qu'est-ce que Kerberoasting ?
Attaque de mot de passe hors ligne qui demande des tickets de service Kerberos pour des comptes de service et casse la portion chiffrée afin de retrouver leur mot de passe en clair. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Kerberoasting ?
Attaque de mot de passe hors ligne qui demande des tickets de service Kerberos pour des comptes de service et casse la portion chiffrée afin de retrouver leur mot de passe en clair.
Comment se défendre contre Kerberoasting ?
Les défenses contre Kerberoasting combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.