Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 654

Kerberoasting

Revisado porCybersecurity entrepreneur & security researcher

O que é Kerberoasting?

KerberoastingAtaque offline de palavras-passe que solicita tickets de serviço Kerberos para contas de serviço e quebra a parte cifrada para recuperar as palavras-passe em claro.


O Kerberoasting, descrito pela primeira vez por Tim Medin na DerbyCon 2014, abusa de uma propriedade central do Kerberos: qualquer utilizador autenticado no domínio pode pedir um ticket de serviço (TGS-REP) para qualquer Service Principal Name (SPN), e parte desse ticket é cifrada com o hash NTLM da palavra-passe da conta de serviço. O atacante nunca toca no serviço alvo — enumera os SPNs (via LDAP, setspn, Rubeus ou o GetUserSPNs do Impacket), pede os tickets, exporta os blobs cifrados e quebra-os offline com o Hashcat (modo 13100) ou o John the Ripper. Não envolve privilégios elevados nem bloqueios de conta, pelo que contas de serviço com palavras-passe fracas e nunca rodadas caem muitas vezes em horas.

O risco é mais elevado com os tickets legados RC4-HMAC (etype 23), que se quebram muito mais depressa do que AES; os atacantes forçam frequentemente o downgrade dos pedidos para RC4 de propósito. O MITRE ATT&CK regista esta técnica como T1558.003. É uma das favoritas dos afiliados de ransomware e esteve no centro de compromissos de Active Directory amplamente noticiados, porque as contas de serviço costumam ter privilégios excessivos. Defesas: usar palavras-passe aleatórias de 25+ caracteres ou group Managed Service Accounts (gMSA/dMSA) com rotação automática, impor tipos de cifra AES, remover SPNs desnecessários de contas privilegiadas, implementar SPNs honeypot e alertar para o Event ID 4769 que mostre pedidos massivos de tickets RC4.

flowchart TD
  A[Utilizador de domínio sem privilégios] -->|"1. Enumerar SPNs via LDAP"| B[Active Directory]
  A -->|"2. Pedir TGS para SPN (forçar RC4)"| C[KDC / Controlador de Domínio]
  C -->|"3. TGS-REP cifrado com<br/>o hash da conta de serviço"| A
  A -->|"4. Exportar ticket"| D[Quebra offline<br/>Hashcat modo 13100]
  D -->|"5. Palavra-passe fraca recuperada"| E[Compromisso da conta de serviço<br/>→ movimento lateral / DA]

Exemplos

  1. 01

    Executar Rubeus kerberoast a partir de um utilizador sem privilégios para recolher tickets TGS e quebrá-los com Hashcat.

  2. 02

    Descobrir que um Domain Admin tem um SPN com palavra-passe fraca e escalar para o compromisso total do domínio.

Perguntas frequentes

O que é Kerberoasting?

Ataque offline de palavras-passe que solicita tickets de serviço Kerberos para contas de serviço e quebra a parte cifrada para recuperar as palavras-passe em claro. Pertence à categoria Ataques e ameaças da cibersegurança.

O que significa Kerberoasting?

Ataque offline de palavras-passe que solicita tickets de serviço Kerberos para contas de serviço e quebra a parte cifrada para recuperar as palavras-passe em claro.

Como se defender contra Kerberoasting?

As defesas contra Kerberoasting costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Termos relacionados

Ver também