Silver Ticket
Qu'est-ce que Silver Ticket ?
Silver TicketTicket de service Kerberos (TGS) forge a partir du hash d'un compte de service cible, donnant un acces silencieux a ce seul service.
Un Silver Ticket est un TGS forge hors ligne a partir du hash NTLM ou AES d'un compte de service donne, par exemple SQL Server, IIS ou CIFS. Comme le ticket est signe par le compte de service lui-meme et non par krbtgt, l'attaquant ne contacte jamais le KDC et aucun evenement d'authentification Kerberos n'apparait sur le controleur de domaine. Il peut alors acceder a ce service unique sous l'identite de n'importe quel utilisateur, y compris privilegie, pendant la duree de validite du ticket. MITRE ATT&CK suit la technique sous T1558.002 (Steal or Forge Kerberos Tickets: Silver Ticket). Les mitigations incluent des mots de passe forts pour comptes de service (gMSA), Kerberos AES uniquement, la validation PAC et la surveillance des logs d'authentification cote service.
● Exemples
- 01
Forger un Silver Ticket pour le service MSSQL d'un serveur de base de donnees afin d'interroger les donnees en admin.
- 02
Generer un Silver Ticket CIFS pour lire des fichiers d'un partage sensible sans contacter le DC.
● Questions fréquentes
Qu'est-ce que Silver Ticket ?
Ticket de service Kerberos (TGS) forge a partir du hash d'un compte de service cible, donnant un acces silencieux a ce seul service. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Silver Ticket ?
Ticket de service Kerberos (TGS) forge a partir du hash d'un compte de service cible, donnant un acces silencieux a ce seul service.
Comment fonctionne Silver Ticket ?
Un Silver Ticket est un TGS forge hors ligne a partir du hash NTLM ou AES d'un compte de service donne, par exemple SQL Server, IIS ou CIFS. Comme le ticket est signe par le compte de service lui-meme et non par krbtgt, l'attaquant ne contacte jamais le KDC et aucun evenement d'authentification Kerberos n'apparait sur le controleur de domaine. Il peut alors acceder a ce service unique sous l'identite de n'importe quel utilisateur, y compris privilegie, pendant la duree de validite du ticket. MITRE ATT&CK suit la technique sous T1558.002 (Steal or Forge Kerberos Tickets: Silver Ticket). Les mitigations incluent des mots de passe forts pour comptes de service (gMSA), Kerberos AES uniquement, la validation PAC et la surveillance des logs d'authentification cote service.
Comment se défendre contre Silver Ticket ?
Les défenses contre Silver Ticket combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
● Termes liés
- identity-access№ 584
Kerberos
Protocole d'authentification réseau à base de tickets utilisant la cryptographie symétrique et un Centre de Distribution de Clés de confiance pour offrir une authentification unique sécurisée.
- attacks№ 447
Golden Ticket
TGT Kerberos forge a l'aide du hash du compte krbtgt, permettant a un attaquant d'usurper n'importe quel principal du domaine.
- attacks№ 791
Pass-the-Ticket
Attaque sur Active Directory qui rejoue un ticket Kerberos derobe afin d'usurper l'identite d'un utilisateur ou d'un service sans connaitre son mot de passe.
- defense-ops№ 682
Mimikatz
Outil open source de post-exploitation Windows qui extrait mots de passe en clair, hash, tickets Kerberos et autres identifiants depuis la memoire et LSASS.
- identity-access№ 013
Active Directory
Service d'annuaire d'entreprise de Microsoft pour les réseaux Windows, qui assure l'authentification, l'autorisation et la gestion centralisée des stratégies pour utilisateurs, machines et ressources.
- attacks№ 583
Kerberoasting
Attaque de mot de passe hors ligne qui demande des tickets de service Kerberos pour des comptes de service et casse la portion chiffree afin de retrouver le mot de passe en clair.