Silver Ticket
Qu'est-ce que Silver Ticket ?
Silver TicketTicket de service Kerberos (TGS) forge a partir du hash d'un compte de service cible, donnant un acces silencieux a ce seul service.
Un Silver Ticket est un TGS forge hors ligne a partir du hash NTLM ou AES d'un compte de service donne, par exemple SQL Server, IIS ou CIFS. Comme le ticket est signe par le compte de service lui-meme et non par krbtgt, l'attaquant ne contacte jamais le KDC et aucun evenement d'authentification Kerberos n'apparait sur le controleur de domaine. Il peut alors acceder a ce service unique sous l'identite de n'importe quel utilisateur, y compris privilegie, pendant la duree de validite du ticket. MITRE ATT&CK suit la technique sous T1558.002 (Steal or Forge Kerberos Tickets: Silver Ticket). Les mitigations incluent des mots de passe forts pour comptes de service (gMSA), Kerberos AES uniquement, la validation PAC et la surveillance des logs d'authentification cote service.
● Exemples
- 01
Forger un Silver Ticket pour le service MSSQL d'un serveur de base de donnees afin d'interroger les donnees en admin.
- 02
Generer un Silver Ticket CIFS pour lire des fichiers d'un partage sensible sans contacter le DC.
● Questions fréquentes
Qu'est-ce que Silver Ticket ?
Ticket de service Kerberos (TGS) forge a partir du hash d'un compte de service cible, donnant un acces silencieux a ce seul service. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Silver Ticket ?
Ticket de service Kerberos (TGS) forge a partir du hash d'un compte de service cible, donnant un acces silencieux a ce seul service.
Comment se défendre contre Silver Ticket ?
Les défenses contre Silver Ticket combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.